2021 2月 21 06:10:06 ソースコード解析補助ソフト SourceTail カテゴリ: セキュリティエンジニアの日常 オープンソース(OSS) ソースコード解析補助ソフト SourceTail SBOM(ソフトウェア部品表)の実施に有効なOSS・構造把握性の向上・障害発生時の解析速度向上・OSSバージョン管理など管理性能向上■公式https://www.sourcetrail.com/github ■説明
2021 2月 17 10:20:49 肉の日じゃない肉の日セキュリティイベント? カテゴリ: Nonセキュリティエンジニア向け 雑談 最近関西のセキュリティ界隈がもりあがっていて楽しそうですね。関西セキュリティのイベントをご紹介。29SEC~肉節句~ 情報セキュリティの火を絶やさないイベント - パスマーケット 2021/2/26(金) 17:00~ 肉の日といいながら肉の日じゃないのがツボった(笑)
2021 2月 12 20:00:20 依存関係かくらん攻撃にご注意を カテゴリ: Nonセキュリティエンジニア向け ニュース解説 いろいろな既存のコードやプログラム同士をつなぐためには、一定のルール=お作法が必要で、一定のルールをプロトコルといいます。プロトコルは和訳すると礼儀作法とかそいういう意味なのでそのまんまですね。有名なところだとREST APIとかOAuthとか。企業が独自でつくったアプリケーションとそれ以外をつなぐためのプロトコルを狙った攻撃はそのアプリケーションを作って使用している企業自身が防がなければなりません。何かしらのプロトコルに従う仕組みづくりをIT用語で「依存関係」というのであって、MSが企業に依存しているわけでも、企業がどこかに依存しているという意味でもありません。依存関係かくらん攻撃とは、このプログラムの依存関係を持ちいてコードを置き換えることをさすため、置換攻撃ともいうそうです。今回発見された手法は、01)プライベートライブラリ名をしられてしまうと、そのライブラリ名と同じパッケージを「外部」でつくられる02)その外部のパッケージをビルド時にコンパイラが優先して読み取ってしまうというもの。考えうる対応は・ライブラリ名に気をつける・コンパイラの参照設定を厳密に行うというところでしょうか。
2021 2月 7 20:00:34 怪しいと思えるのは技術的知識と。 カテゴリ: Nonセキュリティエンジニア向け セキュリティ入門 Facebookでこの記事を載せたら思ったより反応が多かったのでブログでも。どうやったら『なんか怪しそう』と思えるか。 普通のエンジニアだと説明できないそうです。01.どうやったら初心者が『怪しい』と思えるか、引き返せるか02.特別なソフトを使わない本当の公式サイトか確認する方法03.万能で完全な手段はないことすべてを叶える万能策がこの世にないため答えは明確でもなく、ひとつでもないですが、ここを読んでいる方は説明をご自身で短文でもいいので書いてみてから続きをお読みください。※セキュリティが本職の人は話せないとアウトですよ~