ソフトウェア・インテグリティ

アーカイブ 'アプリケーション・セキュリティ' カテゴリ

 

ソフトウェア・セキュリティを要件に定義していますか?

堅牢なソフトウェア・セキュリティ要件定義により、意図した用途以外では使用できないようにソフトウェアの用途を制限(ロックダウン)することができます。独自のセキュリティ要件定義の作成方法について説明します。

続きを読む

カテゴリ: アプリケーション・セキュリティ, ソフトウェア・アーキテクチャと設計

 

新しいDevSecOpsの研究、SDLCを通してAppSecへの対応の必要性を強調

この調査結果により、開発プロセスでのセキュリティのシフトレフト(前倒し)、継続的なトレーニングによる開発チームの強化、および速度に悪影響を与えずに安全にコーディングできるように現在のプロセスを補完するソリューションのツール提供などの重要性が再確認されました。

続きを読む

カテゴリ: アジャイル、CI/CD、DevOps, アプリケーション・セキュリティ

 

アプリケーション・セキュリティ・プログラムの7つの基本

私は最近、中規模の通信ソフトウェア会社で働いている私の友人に、アプリケーション・セキュリティ・プログラムの最初に取り組むべきことを説明しました。しかし、高度なスキルを持つ技術スタッフがいる中小企業の場合、セキュアなソフトウェア開発ライフサイクル(SSDLC)を実装することの価値を理解してすぐに把握するのは難しい場合があります。

続きを読む

カテゴリ: アプリケーション・セキュリティ

 

SASTとSCA:両方が必用な理由

SCAツールを使用する場合、SASTツールも使用する必要がある理由はどこにあるのでしょうか。以下では、それぞれのツールでできることとできないこと、および両ツールがどのように補完し合うかについて説明します。

続きを読む

カテゴリ: アプリケーション・セキュリティ, ソフトウェア・コンポジション解析, 静的解析(SAST)

 

[CyRC解析レポート] CVE-2020-7958 Android端末の生体認証データ抽出の脆弱性

この記事ではtrustletの内部を掘り下げ、TEE(Trusted Execution Environment)の実装において、異なるコンポーネントがお互いにどのように協働するのか、そして、どうのように攻撃することができるかについて解説します。

続きを読む

カテゴリ: アプリケーション・セキュリティ, ソフトウェア・セキュリティ・リサーチ

 

医療機器のUL(およびFDA)規格への適合を支援する方法

FDAが医療機器の市販前申請で参照可能な「Recognized Consensus Standards」としてUL 2900-2-1を採用したことは、世界がより良い方向に変わろうとしていることを意味しています。

続きを読む

カテゴリ: アプリケーション・セキュリティ, 医療業界のセキュリティ, 脆弱性対策

 

Ghostcat脆弱性(CVE-2020-1938)とは何か

Ghostcatは、Apache Tomcatバージョン6.x、7.x、8.x、および9.xで見つかり、状況によって遠隔コード実行を招く脆弱性です。Apache Tomcatには、デフォルトで有効にされ、ポート8009のすべてのアドレスをリッスンするAJPコネクタが含まれています。この接続は、HTTPといった接続よりも高い信頼性で処理されます。攻撃者がこれを悪用して、意図しないアクションを、信頼されていないユーザーに対して実行します。

続きを読む

カテゴリ: アプリケーション・セキュリティ, オープンソースのセキュリティ

 

在宅勤務で平常心を失ったり、セキュリティを損なったりしないためのヒント

シノプシスで長期のリモート勤務している従業員から、在宅勤務での平常心と会社資産のセキュリティを保つためのヒントを、予想外にストレスの多い時期を過ごす皆さんにご紹介します。

続きを読む

カテゴリ: アプリケーション・セキュリティ, 開発者支援

 

レガシー脆弱性への対処法

「壊れていないものを直すな」というアメリカの古いことわざにも知恵が隠されています。だからこそ、格言にもなったのです。
そして、このことわざは使い古しの芝刈り機に当てはまるのかもしれません。しかし、デジタル世界となると、これは時代遅れの「知恵」であり危険です。見かけは何の問題もなく機能しているような多くのシステムやアプリケーションも、数年前に発見された危険な脆弱性をはらんでいるかもしれないからです。多くの組織はこのようなレガシー脆弱性に気付いていません。忘れてしまったか、単に無視している場合もあるでしょう。しかし、攻撃者は忘れていません。

続きを読む

カテゴリ: アプリケーション・セキュリティ, オープンソースのセキュリティ