新着情報
新ガイドライン
4つの新しいコンセプトのガイドライン
- セキュリティ標準入門
- OWASP の紹介
- OWASP Web TOP 10 の概要
- OWASP API TOP 10 の概要
すべての新しい C を含む新しい CERT-C コース:基本的な課題とガイドライン
CERT-C 標準に沿った 34 の新しいチャレンジと 17 の新しいガイドラインをカバーしています:
- ビジネスロジック
- 不十分な検証
- 論理エラー
- 安全でない暗号
- 安全でないランダム性
- 情報暴露
- エラーの詳細
- インジェクションの欠陥
- OSコマンドインジェクション
- パストラバーサル
- メモリ破壊
- バッファオーバーフロー
- ダブルフリー
- フォーマット文字列の脆弱性
- ヒープオーバーフロー
- 不正なポインタ値
- 整数オーバーフロー
- ヌル参照除去
- レース条件
- 未初期化変数
- フリー後の使用
- セキュリティの設定ミス
- 不適切なパーミッション
新しいPCI DSS v4.0の概念とコンプライアンスコース
開発者向けに PCI DSS コンプライアンスの概念的なセキュリティトレーニングを効率的に提供するために設計された新しいコースです。このレッスンには、新しいガイドラインが含まれています:
- PCI DSS - PCI DSS開発者トレーニング入門
- PCI DSS - PCI DSS v4.0 要件 1-4
- PCI DSS - PCI DSS v4.0 要件 5-12
- PCI DSS - 実際の事例
- PCI DSS - PCI DSS評価の準備
改善
ガイドラインの翻訳
探検、クエスト、コースでガイドラインを表示する場合、テキストはユーザーのプロファイル設定で選択された言語に基づいて翻訳されます。
ガイドラインにPython Basicコードスニペットが追加されました。
以下のガイドラインにPython Basicのコードスニペットを追加しました:
- アクセスコントロール
- 関数レベルのアクセス制御の欠落
- オブジェクトレベルのアクセス制御の欠落
- 認証
- 不適切な認証
- 不適切な資産管理
- 不適切な資産管理
- 情報露出
- 機密データの漏洩
- 安全でない暗号
- 弱いアルゴリズムの使用
- 不十分なトランスポート層の保護
- 機密情報の無防備なトランスポート
- セキュリティの誤設定
- 不適切または欠落したHTTPヘッダー
Infrastructure as Code(IaC)ガイドラインにAnsibleとCloudFormationのコード・スニペットが追加されました。
IaCガイドラインが更新され、AnsibleとCloudFormationのコードサンプルのバリエーションが追加されました。以下のガイドラインが更新されました:
- アクセス制御
- 関数レベルのアクセス制御の欠落
- 認証
- 十分に保護されていない認証情報
- ビジネス・ロジック
- 不十分なバリデーション
- 論理エラー
- 情報露出
- 機密データの暴露
- 不十分なロギングとモニタリング
- 不十分なログとモニタリング
- 不十分なトランスポート層の保護
- 機密情報の無防備なトランスポート
- セキュリティの誤設定
- セキュリティ機能の無効化
- 不適切なアクセス許可
- 情報漏洩
- 機密データ保管
- 機密情報の平文保管
- 脆弱なコンポーネント
- 信頼できないソースからのコンポーネントの使用
- 既知の脆弱なコンポーネントの使用
新しい評価設定オプション
管理者は、アセスメントでさらなる設定オプションを選択できるようになりました。
- 課題の種類を選択する
- Identify/FixとLocate/Fixを交互に選択(デフォルト)
- 特定/修正のみ
- ロケート/フィックスのみ
- チャレンジの難易度
- スイッチがオンの場合、過去にプレイされたことがあるチャレンジであっても、常に正しい難易度のチャレンジが提供されます。
- スイッチがオフの場合、過去にプレーされていなければ、正しい難易度の課題が提供されます。過去に正しいチャレンジがすべてプレーされている場合、代わりに異なる難易度のチャレンジが選択されます(これが現在の動作であり、設定はデフォルトでこのようになっています)。
コメント
0件のコメント
サインインしてコメントを残してください。