ソフトウェア・インテグリティ

サイバー・セキュリティ大統領令は、新たなソフトウェア・セキュリティ標準を求めている

バイデン大統領のサイバー・セキュリティ大統領令には、新しいソフトウェア・セキュリティ標準とベスト・プラクティスが必要です。準備するために何ができるかを学びましょう。

続きを読む

米国における低品質ソフトウェアのコスト問題

2020年における米国の低品質ソフトウェアによるコストは2.08兆ドルと試算されました。この記事では、経営層のために品質およびセキュリティをコストで可視化を試みたCPSQと名付けられたレポートから、ビジネスの課題を読み解いていきます。

続きを読む

［CyRC脆弱性勧告］GOautodialで発見された複数の脆弱性

認証の不備とローカル・ファイルインクルードの脆弱性により、GOautodialAPIを悪用され、情報漏洩と、リモートコードの実行の可能性があります。

続きを読む

医療機器のハッキング：攻撃から身を守る5つの方法

医療関連企業が機器やネットワーク、および接続先のシステムへの攻撃を防ぐには、医療機器のセキュリティに関するベストプラクティスに従う必要があります。

続きを読む

［CyRC脆弱性解析］Apache log4j Java ロギングライブラリー のリモートコード実行の脆弱性

シノプシス・サイバーセキュリティ・リサーチセンター（CyRC）は、Apache log4jに関するエクスプロイトのPoCと併せてBlack Duck® Security Advisory （BDSA）を発行し、CVSS スコアを9.4としました。

続きを読む

Log4j (Log4Shell)を検知する：組織への影響を緩和する

Log4jが発見されたことで、DevOpsチームは問題を軽減するためにたゆまぬ努力をしています。そこで、あなたの組織が今取るべき6つの行動についてお話しします。

続きを読む

Black Duckでソフトウェア部品表を構築する

ソフトウェア・サプライ・チェーンのセキュリティ強化を図るため、Black Duck SBOMのエクスポート機能は、現在、米国の大統領令14028号で規定されたNIST規格に準拠しています。

続きを読む

BSIMM: ソフトウェア・セキュリティ・イニシアティブの向上を実現する上位5つのソフトウェア・セキュリティ・アクティビティ

信頼性の高いソフトウェアを構築するには、BSIMM12の上位5つのソフトウェア・セキュリティ・アクティビティから始めましょう。

続きを読む

ASOCシリーズ・パート3：AppSecの説明責任を改善するASOC（Application Security Orchestration and Correlation）

アプリケーション・セキュリティ（AppSec）のアナリスト、マネージャー、CISOにとって説明責任の確保は重要です。ASOCツールを使用して説明責任を果たすために必要な高い可視性と透明性を実現する方法をご紹介します。

続きを読む

信頼できるプラグインに関する考察：Jenkinsのビルドにバックドアを仕掛ける

この投稿では、Jenkinsのインスタンスを侵害した攻撃者が、そのインスタンスで構築されたソフトウェアにバックドア（不正侵入のための入り口）を仕掛ける方法と、攻撃を防ぐために不可欠なセキュリティ対策をご紹介します。

続きを読む

BSIMM12：ソフトウェア・セキュリティ・プログラムの改善に役立つポイントと推奨事項

BSIMM12は、企業のソフトウェア・セキュリティ・アクティビティに関する調査を実施し、ソフトウェア・セキュリティ・イニシアティブ(SSI)をナビゲートするのに役立つガイドを作成しています。

続きを読む

ASOCシリーズ・パート2：アプリケーション・セキュリティの自動化によってAppSecをスケールさせる方法

ASOCツールを使用したアプリケーション・セキュリティの自動化とオーケストレーションにより、セキュリティのスケーリングを実現する方法をご紹介します。

続きを読む