AWS CDKを用いたセキュアなCI/CDパイプラインの構築 / Build a secure CI/CD pipeline using AWS CDK

2024/09/25 5 users AWS CDK CDパイプライン 構築

JAWS-UG CDK支部 #16 ~CDK Conference 2024 Extra~ https://jawsug-cdk.connpass.com/event/328676/ 続きを読む

鍵の携帯も不要に。セキュアで正確な距離認識技術「Bluetoothチャネルサウンディング」

2024/09/04 14 users 携帯

続きを読む

GitHubで扱うPersonal access tokenの利用方法をセキュアにする - 10X Product Blog

2024/08/19 60 users GitHub セキュリティチーム セキュリティリスク うち

こんにちは、セキュリティチームの@sota1235です。 セキュリティチームでは昨年の夏頃からGitHub上のセキュリティリスクを洗い出し、順に対応や改善を行っています。 そのうちの1つとして、昨年の秋ごろからGitHubのPersonal Access Tokenの取り扱いの改善を行ってきました。 具体的には以下の取り組みを行いました。 CI... 続きを読む

Raspberry Pi財団、独自開発の最新マイコン「RP2350」と「Raspberry Pi® Pico 2」を発表、スイッチサイエンスも「Picossci 2」発表、準備が整い次第販売開始

2024/08/08 11 users スイッチサイエンス Raspberry Pi RP2350

Raspberry Pi財団、独自開発の最新マイコン「RP2350」と「Raspberry Pi® Pico 2」を発表、スイッチサイエンスも「Picossci 2」発表、準備が整い次第販売開始 Raspberry Pi財団は2024年月日、高性能かつセキュアに進化した同財団独自開発の最新マイコン「RP2350」と「RP2350」を搭載した開発ボード「Raspberry Pi® Pico 2... 続きを読む

Docker互換のセキュアなコンテナ実行環境「Podman」超入門

2024/07/19 134 users Podman Docker デプロイ Docker互換 超入門

いまやWebアプリの開発やデプロイにおいて、コンテナは欠かせないものになってきました。 コンテナ実行環境にも色々ありますが、その中でも支配的なのがDockerでしょう。 ですがDockerは、その構造上いくつかの問題も抱えています。 今回はDockerと互換性を持ちながらも、よりセキュアに運用できるPo… 続きを読む

セキュアなAWS環境の設計についての解説【2024年版】 - サーバーワークスエンジニアブログ

2024/07/12 289 users AWS環境 サーバーワークスエンジニアブログ 設計 イーゴリ

こんにちは！イーゴリです。 AWS にとって、クラウドのセキュリティは最優先事項です。(AWS公式ページ) AWS環境のセキュリティ対策としてAWSサービスを解説するよりも、まずはAWS環境の最適な設計について考える必要があります。AWS Well-Architected Frameworkを考慮しながらの設計を推奨します。AWS Well-Architected ... 続きを読む

PythonのDockerfileをセキュアにするためのベストプラクティス - Qiita

2024/05/26 12 users Qiita Dockerfile ベストプラクティス 完成品

はじめに PythonのDockerfileを作成する際、ネット上で適切な情報が見つからず、試行錯誤することがあります。そこで、ここでまとめてみます。 完成品 # 開発用ステージ FROM python:3.11-bullseye AS developer ENV PYTHONUNBUFFERED=1 WORKDIR /app RUN apt-get update \ && apt-get install -y --no-install-recommen... 続きを読む

第807回　Vaultwardenでパスワードをセキュアに管理しよう | gihyo.jp

2024/04/03 19 users 人類 戦い パスワードレス認証 gihyo.jp 管理

パスワードの安全な管理は頭の痛い問題ですよね。そもそも今時であれば、パスワードレス認証に移行すべきではあるのでしょう。ですが世の中のサービスすべてが、すぐにパスワードレス認証に対応してくれるわけでもありません。まだまだしばらく人類とパスワードの戦いは続きそうです。 パスワードを少しでも安全に使うた... 続きを読む

Railsを高速かつセキュアにするHTTP/2プロキシ「Thruster」、37signalsがオープンソースとして公開

2024/03/25 105 users Rails http Railsアプリ 37signals

RailsのためのHTTP/2プロキシ「Thruster」がオープンソースで公開された。ほとんど設定不要で、導入によりRailsアプリをより高速かつセキュアにする。 Ruby on Rails（以下、Rails）の開発元である37signalsは、より高速でセキュアなRailsアプリケーションを実現するHTTP/2プロキシ「Thruster」をオープンソースとして公... 続きを読む

はてなへのログインがパスキーと多要素認証に対応し、よりセキュアになりました - はてなの告知

2024/03/25 129 users 平素 認証 告知 ハスキー 多要素認証

2024/3/25 17:37 追記 Firefox と1Password の組み合わせを利用していた場合、パスキーの生成が失敗する不具合が発生しておりました。現在は修正済みです。ご不便おかけし申し訳ございませんでした。 本文 平素よりはてなをご利用いただきありがとうございます。 はてなIDが「パスキー」「多要素認証」を利用した認証に... 続きを読む

GitHub、脆弱性のあるコードを実際にデバッグして学べる「Secure Code Game」シーズン2がスタート

2024/02/18 347 users GitHub ユニットテスト コーディング 脆弱性 シーズン

GitHubは、脆弱性を含むコードを実際にデバッグすることでセキュアなコーディングを無料で学べる「Secure Code Game」のシーズン2開始を発表しました。 「Secure Code Game」は、ゲームと名付けられていますが、実際のコードを月間60時間無料で提供されるGitHub Codespacesの機能を駆使して修正し、ユニットテストを通し... 続きを読む

Secure Boot有効かつ暗号化したUbuntuのUSBを作成し、（ほぼ）どんなPCでもセキュアにUbuntuを使うようにする - Qiita

2024/01/15 18 users Ubuntu Qiita SSD USB からあげ先生

Secure Boot有効かつ暗号化したUbuntuのUSBを作成し、（ほぼ）どんなPCでもセキュアにUbuntuを使うようにするUbuntulvmUSBluks USBで起動できるUSB SSDをもっとセキュアに使いたい USBのSSDを使用して、簡単にUbuntuをPCで使うというのは、多くの方がチャレンジしていて、かの有名なからあげ先生も記事をあげています。 ... 続きを読む

セキュアな時刻同期Network Time Security(NTS)をOpenWRTルーターに設定する | DevelopersIO

2024/01/13 46 users NTS OpenWrt DevelopersIO 大瀧 NTP

ども、大瀧です。 NTPにセキュリティ機能を追加したNTSという時刻同期サービスを知っていますか。本ブログではルータ向けLinuxディストリビューションOpenWRTで時刻同期にNTSを構成する様子をご紹介します。 動作確認環境 ハードウェア: GL-iNet GL-MT2500　ファームウェア 4.5.0release6(rc) OpenWRT: バージョン21.02 ... 続きを読む

日本やアメリカなど18カ国がAIの安全開発ガイドラインを共同発表

2023/11/28 15 users 共同発表 アメリカ １８か国 ドキュメント ガイドライン

現地時間2023年11月27日に、アメリカや日本を含む18カ国がAI開発に関するガイドライン「セキュアなAIシステム開発のためのガイドライン(Guidelines for secure AI system development)」を共同発表しました。ガイドラインでは、AIの開発や運用保守においてユーザーのプライバシーを保護することやドキュメントを適切に管... 続きを読む

Linux Foundation、日本語版「セキュア ソフトウェア開発：実装」トレーニングを無料提供

2023/07/26 14 users 実装 Linux Foundation トレーニング 開発

Linux Foundationは、edXプラットフォームを通じて、オープンソースやその他のソフトウェアの安全な使用・開発についての無料オンラインコース「セキュア ソフトウェア開発」を提供している。今回発表されたのは、第2部の「セキュア ソフトウェア開発：実装（LFD105-JPx）」。 本トレーニングは3部から構成されており、6... 続きを読む

初級から上級までセキュアなAWS環境の作り方

2023/04/21 18 users AWS環境 初級 上級 Author 作り方

2023年に実施されたAWS Summit Tokyoの自社ブースで登壇した「初級から上級までセキュアなAWS環境の作り方」の内容です。詳細は以下ブログでも解説しています。 https://dev.classmethod.jp/author/usuda-keisuke/ 続きを読む

「初級から上級までセキュアなAWS環境の作り方」というタイトルでAWS Summit Tokyoのクラスメソッドブースでミニセッションしました #AWSSummit | DevelopersIO

2023/04/20 115 users 臼田 クラスメソッド awssummit AWS 幕張メッセ

こんにちは、臼田です。 みなさん、AWSのセキュリティ対策してますか？(挨拶 今回は、幕張メッセで行われているAWS Summit Tokyoの会場で実施した、クラスメソッドのミニセッションの内容を共有します。 資料 解説 のちほど書きます 参考リンク集 続きを読む

「GitHub Actions × AWS」のトレーサビリティ向上委員会

2023/03/09 5 users GitHub Actions AWS トレーサビリティ 手法

GitHub ActionsからAWSを操作できると便利です。OIDC（OpenID Connect）を使えばアクセスキーも不要で、セキュアに運用できます。しかし複数システムにまたがる特性上、トラブルシューティングは面倒です。そこで本記事ではトレーサビリティを向上させ、メンテナンスしやすくする手法を紹介します。トレーサビリティが向... 続きを読む

第751回　イマドキのVPSでUbuntuをセキュアに保つ | gihyo.jp

2023/02/22 8 users Ubuntu VPS ストレージ容 諸般 gihyo.jp

今回はイマドキのVPSであるKAGOYA CLOUD VPSにUbuntuをセットアップし、セキュアに運用する方法を紹介します。とはいえ他のVPSサービスにもそのまま利用できます。 VPS放浪記 筆者は諸般の事情でKAGOYA CLOUD VPSを借りることにしました。 主に動作させるのはNextcloudサーバーです。一般的なVPSサービスのストレージ容... 続きを読む

Windows 11の軽量版「Tiny11」を実際にインストールして使ってみた – 古いPCでも動作が軽い！

2023/02/12 21 users Tiny11 動作 軽量版 古いＰＣ 実際

Windows 11は意外と要件が厳しく、古いパソコンでは利用できません。そのようななか、2023年2月2日にWindows 11の軽量版となる「Tiny11」が公開されました。Tiny11はTPM2.0やセキュア ブートに非対応でメモリが2GBしかない古いパソコンでも動作するとのこと。そこで今回は。「Tiny11」がどういったものなのか検証するた... 続きを読む

Amazon RDS で100年有効な新しいCAが利用可能になりました | DevelopersIO

2023/01/15 21 users DevelopersIO SSL 有効期限 認証局 ４０年弱

Amazon RDS で、セキュアなDB通信を行う際 に利用する認証局 (CA) として、 有効期限が40年弱(rds-ca-rsa2048-g1)、100年弱(rds-ca-rsa4096-g1, rds-ca-ecc384-g1) のCAが、2023年1月13日のアップデートで利用可能になりました。 Amazon RDS now supports new SSL/TLS certificates and certificate controls 今回、利用... 続きを読む

今だから話せる「トップエンジニアが新人だった頃」【LayerX 名村卓×Ms. Engineer 齋藤匠×Flatt Security 米内貴志　鼎談（後編）】 - #FlattSecurityMagazine

2022/12/15 11 users LayerX FlattSecurityMagazine

これまで様々な開発組織を牽引してきた株式会社LayerX 執行役員の名村卓さん、Ms.Engineer株式会社 Mother of Engineerの齋藤匠さんのお二人に、株式会社Flatt Security CTOの米内貴志がお話を伺う鼎談企画。 経営・マネジメントの立場から「セキュアな開発組織」のあり方について語り合った前編と打って変わって、後編... 続きを読む

トップエンジニアが語るセキュアな開発組織の作り方 - #FlattSecurityMagazine

2022/12/08 8 users ITベンダー 昨今 組織 ユーザー企業 開発

昨今、ITベンダーだけでなくユーザー企業にもシステム内製化の動きが広がりつつあり、「セキュアな開発をいかに実現するか」は多くの開発組織における悩みの1つとなっています。 「セキュアな開発組織」をどう作っていくべきか。また、セキュアな開発を組織に浸透させるにはどうすれば良いのかーー。株式会社Flatt Secur... 続きを読む

Wasmはなぜセキュアなのか？

2022/11/28 69 users wasm Wasmer バイナリ 実装 セキュリティ

Wasmはなぜセキュアなのか？ 前回Wasmのバイナリを読んでみたが、実行時にどのようにセキュアに実行しているのか気になったので調べてみた。 とりあえず今回も公式ドキュメントを見ながら整理しつつ、実際のコードも無理なく辿れそうなところはwasmerの実装を参考に見ていきたいと思う。 Wasmの目指すセキュリティ とり... 続きを読む

AWS Lambdaで秘密情報をセキュアに扱う - アンチパターンとTerraformも用いた推奨例の解説 - Flatt Security Blog

2022/11/08 14 users トリガー スクリプト実行 API Gateway APIキー

はじめに こんにちは。ソフトウェアエンジニアの@kenchan0130です。 AWS Lambdaは関数URLやAPI Gatewayのバックエンド、AWSサービスのイベントをトリガーとしたスクリプト実行など様々な用途で使用されます。 そのため、ユースケースによっては秘密情報を扱いたい場合があります。 この記事では、AWS LambdaでAPIキーな... 続きを読む