新コンテンツ
ソフトウェアセキュリティ標準と OWASP に関する 4 つの基本ガイドライン
ソフトウェアセキュリティ標準と OWASP の実践についての理解を深めるために、4 つの新しい基本的なガイドラインを紹介できることを嬉しく思います。新しいカテゴリーは以下の通りです:
- ソフトウェアセキュリティの基礎
- セキュリティ標準入門
- OWASP の紹介
- OWASP ウェブ TOP10 の概要
- OWASP API TOP 10 の概要
13 Infrastructure as Code guidelines with Terraform:AWS support
Terraform:AWSのコードスニペットによるInfrastructure as Codeのための13の新しいガイドラインを紹介した。追加言語のガイドラインは近日中に利用可能になる予定です。これらのガイドラインはプラットフォーム全体とコーステンプレート内で利用できるようになりました。
対応カテゴリは以下の通りです:
- アクセスコントロール
- 欠落している機能レベルのアクセス制御
- 認証
- 十分に保護されていない認証情報
- ビジネス・ロジック
- 不十分なバリデーション
- 論理エラー
- 情報露出
- 機密データの暴露
- 不十分なロギングとモニタリング
- 不十分なトランスポート層の保護
- 機密情報の無防備なトランスポート
- セキュリティの誤設定
- セキュリティ機能の無効化
- 不適切なアクセス許可
- 情報漏洩
- 機密データ保管
- 機密情報の平文保管
- 脆弱なコンポーネント
- 信頼できないソースからのコンポーネントの使用
- 既知の脆弱なコンポーネントの使用
8つのガイドラインがPythonサポートのために更新されました
既存の8つのガイドラインを更新し、Python:Basicのサポートとコードスニペットを追加しました:
- アクセス制御
- 関数レベルのアクセス制御の欠落
- オブジェクトレベルのアクセス制御の欠落
- 認証 - 不適切な認証
- 不適切な資産管理 - 不適切な資産管理
- 情報暴露 - 機密データの暴露
- 安全でない暗号 - 弱いアルゴリズムの使用
- 不十分なトランスポート層の保護 - 機密情報の保護されていないトランスポート
- セキュリティの誤設定 - HTTP ヘッダの不適切または欠落
35 の C 課題
CERT C の準備をサポートするために、35 の新しい C 課題を追加しました。これらの課題は、CERT に関連する幅広いトピックをカバーしています:
- ビジネスロジック
- 不十分な検証
- 論理エラー
- 情報露出
- エラーの詳細
- インジェクションの欠陥
- OSコマンドインジェクション
- パストラバーサル
- 安全でない暗号
- 安全でないランダム性
- メモリ破損
- バッファオーバーフロー
- ダブルフリー
- フォーマット文字列の脆弱性
- ヒープオーバーフロー
- 不正なポインタ値
- 整数オーバーフロー
- ヌル参照除去
- レース条件
- 未初期化変数
- フリー後の使用
- セキュリティの設定ミス
- 不適切なパーミッション
Cエンベデッドコーディングラボ
- バッファとスタック・オーバーフローの保護
- バッファオーバーフロー
- 整数オーバーフロー
- ダブルフリー
- フリー後の使用
- ファームウェアの更新と暗号署名
- 信頼できないソースからのコンポーネントの使用
- アイデンティティ管理
- 不十分な自動化対策
- トランスポート層のセキュリティ
- 脆弱なアルゴリズムまたはプロトコルの使用
- 機密情報の無防備な輸送
プラットフォームの新機能
新しいエンゲージメントインサイトレポート
エンゲージメントインサイトレポートでは、管理者は期間(デフォルトでは過去12ヶ月)を選択し、統計情報を見ることができます:
- 何人の新規学習者が追加されたか
- SCW 全体でアクティブになった学習者の数
- 現在有効な学習者数
- 選択した期間中、アクティブだった学習者の数
- 学習者が最後にアクティブになってからの期間
- 学習者がクエストやエクスプローラを含む SCW のさまざまなモジュールに費やした時間
参加者リストには、選択した期間のすべての学習者とそのアクティビティの詳細が表示されます。
改善された点
Microsoft Teamsがプラットフォーム設定になりました
Microsoft Teamsをプラットフォーム設定にすることで、Microsoft Teamsコース通知設定を簡素化しました。
トーナメントの招待メール + カレンダーリマインダー
詳細設定の一部として、トーナメントの招待メールを送信できるようになりました。コミュニケーションページでカレンダー招待設定が有効になっている場合、招待メールには開始日(& )、終了日( )、トーナメントに登録するための直接リンクが記載されたカレンダーリマインダーも含まれます。
プレビュー
クエスト
クエストをアップデートし、管理機能を導入しました。管理者は、特定の脆弱性に基づいて目標を設定することで、学習者にとって最も重要なトピックに優先順位をつけることができるようになりました。
この機能はクローズドプレビューとなっており、ご要望に応じて、弊社サポートチーム (support@securecodewarrior.com)、またはカスタマーサクセスマネージャーにメールすることで有効にすることができます。
コメント
0件のコメント
サインインしてコメントを残してください。