Google、OSS向けファジングイニシアティブ「OSS-Fuzz」を発表

 Googleは12月1日、オープンソースソフトウェア向けの継続的ファジングイニシアティブ「OSS-Fuzz」を発表した。よく利用されるソフトウェアインフラの安全性と安定性を高めることを目的に、ファジング手法に分散実行を組み合わせた。これにより、オープンソースソフトウェアの脆弱性を調べるテストを大規模に行うことができるという。

無償SSLサーバー証明書Let's Encryptの普及とHTTP/2および常時SSL化

 Webサイトの暗号化(SSL化、HTTPS対応)はこれまでEコマースやプライバシを守る目的で部分的に導入されてきたが、SHA1からSHA2への切り替え、モバイル端末の普及やHTTP/2の登場によって、サイト全体を常にHTTPS通信にする常時SSL化の動きが活発になっている。さらにSSLサーバー証明書を無償で入手可能なLet’s Encryptのサービス開始や主要なWebサーバーソフトウェアの安定版でHTTP/2が利用できるようになったことでその動きは加速している。本稿ではSSL化を取り巻く最近の状況を整理し、NginxとLet’s EncryptによるHTTP/2&SSL化の実装例も紹介していく。

アプリケーションなどの異常な行動を検出できるアクティビティモニタリングツール「Falco」

 システム監視技術を手がける米Sysdigが、オープンソースのコンテナ対応アクティビティモニタリングツール「Falco」を公開した。アプリケーションの異常な活動を検出するためのツールで、コンテナやアプリケーション、ホスト、ネットワークアクティビティなどをまとめて監視できるのが特徴。

OpenSSLのセキュリティ修正を受け、Node.jsがリリース予定を明らかに

 OpenSSLが2月25日にOpenSSLの最新版を3月1日に公開すると発表したことを受けて、Node.js FoundationがNode.jsのアクティブなリリースについての計画を発表している。OpenSSLのアップデートの内容を見て影響がある場合はリリースを行うと準備を促している。今週、5.7.1をはじめ3つのバージョンが登場する見込みだ。

準備OK? EVコードサイニング証明書の現状とその実際

Microsoft社が表明したコードサイニング証明書におけるSHA-1のアルゴリズムの利用期限が迫り、またWindows 10において証明書の要件が変更されるなど、証明書に関連するセキュリティ強化に変化が起こっている。本稿では、改めて証明書を取り巻く環境を整理するとともに、必須となりつつあるEVコードサイニング証明書を実際にグローバルサインから取得しながら証明書の利用方法をまとめていこう。

Linux Foundation、オープンソースのセキュリティ強化のため3プロジェクトを支援へ

 Linuxを支援する非営利団体Linux Foundationは6月22日(米国時間)、重要なセキュリティ関連ソフトウェアの開発に約45万ドルを投資することを発表した。2014年の「Heartbleed」脆弱性問題を受けて立ち上がったCore Infrastructure Initiative(CII)の下、新たに3つのプロジェクトを立ち上げる。