50% of financial orgs have high-severity security flaws in their apps
2024/11/01 HelpNetSecurity — Veracode のレポートが定義する、”セキュリティ負債” という言葉は、1年以上にわたって修正されず、放置されている、深刻な脆弱性により構成される概念を指す。このセキュリティ負債は、金融組織の 76% に存在しており、そのうちの 50% の組織は、深刻なセキュリティ負債を抱えていることが、Veracode の最新レポート “Research Highlights Financial Sector’s Escalating Security Debt” により明らかになった。
Continue reading “金融機関におけるセキュリティ負債:新たな概念でアプリの脆弱性を分類する – Veracode 調査”Bug Bounty Programs, Hacking Contests Power China’s Cyber Offense
2024/06/18 DarkReading — これまでの 10年間を振り返ってみると、中国のサイバー・セキュリティ専門家は、世界的なエクスプロイト・コンテストや、バグ・バウンティ・プログラムへの遠慮がちな参加者から、これらの分野における支配的なプレーヤーへと進化している。そして、中国政府は、この戦利品を国家のサイバー攻撃力強化に活用している。
Continue reading “中国のサイバー Offense/Defense パワー:世界の脆弱性情報エコシステムとの関係を考察する – ETH Zurich”Why cloud vulnerabilities need CVEs
2024/05/01 HelpNetSecurity — いまの世界において、脆弱性の管理の目的を考えるとき、新しいテクノロジーへの大きな移行を認識する必要がある。たとえばクラウドなどの、各種のパラダイムや環境の中で、リスクを管理する方式を認識することが不可欠となる。ネットワーク・セキュリティの継ぎ接ぎは、同じようにクラウド環境に適用できないだろうし、脆弱性に CVE 識別子を割り当てるクラウド・プロバイダーもほとんどいないという状況である。
Continue reading “クラウドに CVE は 必要? 不要?:変容する脆弱性の管理について考える – Veracode”Over 30% of Log4J apps use a vulnerable version of the library
2023/12/10 BleepingComputer — Apache Log4j ライブラリの一連の脆弱性に対しては、2年以上も前からパッチがリリースされているが、それらを使用するアプリケーションの約 38% では、依然として脆弱なバージョンが用いられていることが判明した。それらの脆弱性の中には、深刻度が評価最大である、Log4Shell 脆弱性 CVE-2021-44228 も含まれている。
Continue reading “Apache Log4j アプリの 30%以上が脆弱なライブラリを使用している – Veracode 調査”Java, .NET Developers Prone to More Frequent Vulnerabilities
2023/01/16 DarkReading — Java と .NET で書かれたアプリケーションの約 75% が、OWASP Top-10 に含まれる脆弱性を、少なくとも1つは持っていることが判明した。ソフトウェア・テスト会社である Veracode が、約76万件のアプリケーションを分析した結果として、上記の2つのプログラミング・エコシステムを使用したアプリケーションの 20% ほどは、少なくとも1つの深刻な脆弱性を抱えていることも明らかになった。
Continue reading “Java と .NET のデベロッパー:大量の脆弱性に対峙する理由を解明”Shift to Memory-Safe Languages Gains Momentum
2022/12/07 DarkReading — 今週に、ソフトウェア・セキュリティの専門家たち発表したところによると、リモートからの悪用が可能で、野放し状態での攻撃の大部分に関与している、きわめて深刻な脆弱性のグループに対して、ソフトウェア業界は前進しているようだ。この脆弱性グループとは、いわゆるメモリ安全性の問題である。具体的には、バッファオーバーフロー/ユースアフターフリーなどを含むものであり、ソフトウェア会社が公表するアプリケーション・セキュリティ問題の大半を占めるものだ。今回の最新データでは、Java/C#/Rust などの、メモリ安全性の高い言語の使用が増加したことで、このクラスの脆弱性全体が急速に減少していることが示されている。
Continue reading “Java/Rust/Kotlin のメモリセーフ機能:C/C++ と安全性を比較してみる”Vulnerability Scanning Triples, Leading to Two-Thirds Fewer Flaws
2022/02/09 DarkReading — Veracode の最新レポート State of Software Security によると、10年前との比較において企業は、アプリケーション・セキュリティ・テストの頻度を高めており、スキャンの対象となるアプリケーション数は3倍に、また、アプリケーションごとのスキャン回数は20倍になっている。
Veracode は、DevSecOps と呼ばれる文化的変化の特徴である、スキャン頻度の増加や、テストとデプロイの自動化、開発者の教育などに注力した結果として、脆弱なライブラリの数が 3分の2に減少し、欠陥の修正に要する時間が 3分の1に短縮されたとしている。
Continue reading “脆弱性スキャンの現状:対象は3倍になり頻度は 20倍になっている”OWASP shakes up web app threat categories with release of draft Top 10
2021/09/09 DailySwig — Open Web Application Security Project (OWASP) は、2021年の Top-10 リストのドラフトを発表し、現代の脅威の分類方法を一新した。9月8日の発表で OWASPは、ピア・レビュー/コメント/翻訳・改善の提案を目的とする、Top 10 Web Application Security Threats for 2021 のドラフトを公開したと述べている。
Continue reading “OWASP Top-10 2021 Draft:Web アプリへの脅威をカテゴライズ”79% of Third-Party Libraries in Apps Are Never Updated
2021/06/24 DarkReading — ソフトウェア開発者は、サードパーティ・ライブラリをコードベースに組み込んだ後に、そのライブラリをアップデートしないことが、大半であることが分かった。Veracode は、301,000 以上のソフトウェア・ライブラリを含む、約86,000の顧客リポジトリを対象に、1,300万回のスキャンを行った結果を分析した。
Continue reading “アプリケーションに含まれる Third-Party ライブラリの 79% が更新されていない?”Majority of Web Apps in 11 Industries Are Vulnerable All the Time
2021/06/23 DarkReading — 6月22日に WhiteHat Security が発表した 2020年のレポートによると、電力会社が導入しているアプリケーションの3分の2に、また、行政機関が導入しているアプリケーションの63%に、セキュリティを損なう深刻な脆弱性が存在していることが分かった。2020年の全体では、11の業種において、少なくとも半数のアプリケーションに深刻な脆弱性が存在していた。
Continue reading “主要 11 業種の大半のアプリケーションは常に脆弱性を抱えている”
IoT OT Security News 