Secure Liaison Secure旅団
-
- Tecnología
セキュリティアーキテクト・エンジニアであるken5(@ken5scal)が1人で、時にはゲストを招き、セキュリティネタをまったりと話すテック系Podcastです。通勤通学や作業のお供にお楽しみください。 ハッシュタグ:#secure旅団, おたより・アンケート:https://forms.gle/4hJNHn6ZfW5CAza9A
-
SBOMについてワイワイ話す会
(収録日: 2024/06/06)
# 感想はSNSでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。
# 内容
@EurekaBerryさん登場
ひとくちPKI
2020年近くのSBOMの概要 - 国家安全保障
サプライチェーンとは何を指すのか
2010年近くのSBOMの概要 - Component管理、透明性管理
本邦におけるSBOMは?
各機関におけるSBOM
Metiの「ソフトウェア管理に向けたSBOMの導入に関する手引」
厚生労働省
(米)FDA
attestation可能な方法での配布パイプライン
2020年におけるニーズの高まりからよりその課題は高まった
SLSA, CICD
OSSとSBOM
PowershellのSBOM
まとめ
# 参照
https://whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/
https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/
https://csrc.nist.gov/glossary/term/sbom
https://www.meti.go.jp/press/2024/04/20240426001/20240426001.html
EU’s Cyber Resilience Act
#積ん読
なし
# 参加者: @EurekaBerry、@Wireworkes、@ken5scal -
XZ UtilsのSWサプライチェーンとOSSエコシステムの話
(収録日: 2024/04/14)
# 感想はSNSでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。
# 内容
XZ Utilsに脆弱性が埋め込まれた話
OSSエコシステムの課題と、それに対する立法的アプローチ、技術的アプローチ等の話
# 参照
## 経緯
https://research.swtch.com/xz-timeline
https://www.mail-archive.com/xz-devel@tukaani.org/msg00567.html
https://techcrunch.com/2024/04/02/open-source-foundations-unite-on-common-standards-for-eus-cybersecurity-resilience-act/
## CVEそのもの
SIOS: https://security.sios.jp/vulnerability/xz-security-vulnerability-20240330/
Sysdig: https://sysdig.com/blog/cve-2024-3094-detecting-the-sshd-backdoor-in-xz-utils/?utm_campaign=Oktopost-2024+Blogs+and+Articles&utm_content=Oktopost-twitter&utm_medium=twitter&utm_source=organic-social&utm_term=Blog%2CThreat+Research%2CVulnerability
Ossf: https://openssf.org/blog/2024/03/30/xz-backdoor-cve-2024-3094/
CISA: https://www.cisa.gov/news-events/alerts/2024/03/29/reported-supply-chain-compromise-affecting-xz-utils-data-compression-library-cve-2024-3094
## 関連PR
https://github.com/libarchive/libarchive/pull/1609
https://gist.github.com/smx-smx/a6112d54777845d389bd7126d6e9f504
https://web.archive.org/web/20240329180818/https://github.com/tukaani-project/xz/pull/86
#積ん読
なし
# 参加者: 中谷さん、ken5scal -
CVSSv4.0とかOkta(続)などの話
(収録日: 2023/11/05)
# 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。
# 内容
CVSSv4と、今までの脆弱性評価の思い出
Oktaのインシデントの話(10/30以降に更新された話)。主に公私分離、体制、サービスアカウント
# 参照
https://www.first.org/cvss/v4-0/
https://www.sec.gov/Archives/edgar/data/1739942/000173994223000079/swi-20230623.htm
https://sec.okta.com/harfiles
#積ん読
なし
# 参加者: 松本さん(@ym405nm)、名無しさん、ken5scal
# ジングル: @hajipion -
仙台のmini hardeningやOktaの話
(収録日: 2023/10/30)
# 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。
# 内容
仙台で MINI Hardening した話
Oktaのインシデントの話(10/30までの時点の情報です)
# 参照
#積ん読
なし
# 参加者: 松本さん(@ym405nm)、ken5scal
# ジングル: @hajipion -
脆弱性管理・パッチ管理など
(収録日: 2023/10/16)
# 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。
# 内容
雑な談
新しいスマホ
ノートアプリ
気になるニュースあったっけ? -> 全銀のはレポート待ち。ほかはない(とかいいながら、その数日後にNTT西日本とOktaのやつがくる)
雑な談 part2
NTLM廃止の話 -> Microsoftプロトコル・ライフサイクルの温故知新、ライセンス
curlの脆弱性の話
脆弱性管理とパッチ管理の話
ルート証明書の更新
ArcとWarpの宣伝
# 参照
SOCKS5 heap buffer overflow - CVE-2023-38545
cookie injection with none file - CVE-2023-38546
How I made a heap overflow in curl
https://www.meta.com/jp/quest/quest-3/
https://twitter.com/zakosirasu/status/1711536931509776637
https://twitter.com/ROYCE62294821/status/1712104171795886326
https://twitter.com/enigma63/status/1713530528698368435
Pixelのアップデート
Google Pixel にソフトウェア アップデートが提供されるタイミング
https://techcommunity.microsoft.com/t5/windows-it-pro-blog/the-evolution-of-windows-authentication/ba-p/3926848
https://devicepartner.microsoft.com/en-us/communications/comm-windows-ends-installation-path-for-free-windows-7-8-upgrade
#積ん読
なし
# 参加者: 松本さん(@ym405nm)、ken5scal、wireworkers
# ジングル: @hajipion -
久しぶりのエピソードの言い訳とか流行りのネタ
(収録日: 2023/10/02)
# 感想はtwitterでハッシュタグ「#secure旅団 #secureLiaison」やGoogle Formにいただけると嬉しいです。
# 内容
言い訳
passkeyのニーズの話
Colab
最近気になったインシデントとオフボーディング
# 参照
前職のデータベースに週末アクセス繰り返し不正発覚した事案についてまとめてみた - piyolog
前職の名刺情報を転職先に不正提供した事案についてまとめてみた - piyolog
#積ん読
なし
# 参加者: 松本さん(@ym405nm)、ken5scal、wireworkers
# ジングル: @hajipion