Posted inセキュリティ
CI/CDパイプラインのセキュリティ強化:SCA・SAST・DASTの実践ガイド
脆弱性が本番環境に到達する前に検出しましょう。このガイドでは、「シフトレフト」セキュリティアプローチのためにSCA・SAST・DASTをCI/CDパイプラインに統合する方法を解説します。
Posted inセキュリティ
STRIDEによる脅威モデリング:コードを1行も書く前にセキュリティリスクを分析する
STRIDEによる脅威モデリングは、WebアプリやAPIのセキュリティリスクをコードを書く前に特定する手法です。認証の欠陥、権限昇格、データ漏洩を設計段階で発見できます。OWASP Threat DragonとpytmをREST APIアーキテクチャの実例とともに解説します。
Posted inセキュリティ
SSRFを未然に防ぐ:APIとWebセキュリティの徹底防御ガイド
サーバーが社内ネットワークを密かに攻撃していませんか?PythonによるIP検証、AWS IMDSv2、ネットワークレベルのエグレスフィルタリングを用いて、SSRFの脆弱性を防ぐ方法を学びましょう。
Posted inセキュリティ
手動監査を終わらせる:MobSFとDockerによるAndroidセキュリティの自動化
手動でのデコンパイルはもう不要です。DockerでMobSFをデプロイし、ハードコードされたシークレットやOWASPの脆弱性を数分で検出する、迅速なAndroidセキュリティ監査の手法を学びましょう。
Posted inセキュリティ
インフラセキュリティの自動化:Nucleiによる実践ガイド
手動のセキュリティ監査から脱却しましょう。コミュニティで検証されたテンプレートを使用して、Linuxサーバーの脆弱性スキャンを自動化するNucleiの使い方を学びます。
Posted inセキュリティ
BOLAを狩る:OWASP ZAPでAPIセキュリティを監査する方法
BOLAは現代のAPIにおける最大のリスクです。OWASP ZAPを使用してセキュリティテストを自動化し、認可のバグを発見してコードを堅牢にする方法を解説します。
Posted inセキュリティ
脆弱性管理の一元化:DefectDojo、Trivy、Semgrep 活用実践ガイド
Trivy、Nmap、Semgrep の結果を一元化して、セキュリティワークフローを効率化しましょう。本ガイドでは、DefectDojo のセットアップから脆弱性管理の自動化までを詳しく解説します。
Posted inセキュリティ
タグを盲信するのをやめよう:Cosignでコンテナサプライチェーンを保護する
コンテナのタグは簡単に偽装できてしまいます。CosignとSigstoreを使用してイメージに署名し、Kubernetesクラスターをサプライチェーン攻撃から守る方法を学びましょう。
Posted inセキュリティ
脆弱性のリリースを防ぐ:SemgrepによるSASTの自動化
本番環境にデプロイする前に脆弱性をキャッチしましょう。本ガイドでは、Semgrepを使用してCI/CDパイプラインでのセキュリティスキャンを自動化し、手動レビューの時間を短縮して、コストのかかる情報漏洩を防ぐ方法を紹介します。
Posted inセキュリティ
漏洩したシークレットを追跡:TruffleHogでGit履歴の安全性を確保する
APIキーを誤ってコミットしてしまったことはありませんか?TruffleHogを使ってGitの履歴をスキャンし、シークレットが現在も有効か検証し、それらを完全に削除する方法を学びましょう。