Death by Doki: 深刻な被害をもたらした新しい Docker の脆弱性 (およびその対処法)
日本語の擬音語では、「ドキドキ」("""")というフレーズは、激しく鼓動する心臓の音を表しています。これはまさに、DockerサーバがDokiに感染した場合に、セキュリティチームのメンバーが経験するかもしれないことを意味しています。控えめに言っても、それにふさわしい名前です。
クラウドインフラへの依存度が高まる中、セキュリティのベストプラクティスを正確かつスケーラブルに有効活用することが不可欠です。また、アプリケーションを安全に展開するための最低限の機能だけでなく、コンテナセキュリティのためのカスタマイズされた対策をSDLC全体で周知し、展開する必要があります。
サイバー攻撃はますます頻繁になってきており、Linuxベースのインフラに影響を与える脅威はより一般的になってきています。その最終目的は、クラウドに保存されている機密データの略奪品を割ることです。Dokiはまさにそれを目的としており、検出されず、強力で効果的な状態を維持するために複数の技術を使用しており、Dockerベースのセキュリティ問題の領域ではこれまでに見られなかったものです。
Dokiとは何か、どのような仕組みなのか。
侵害されたアプリケーションの多くに共通するテーマですが、ソフトウェアがどのように侵害されたかについては、セキュリティの誤設定が受け入れがたいほど大きな役割を果たしています。特にDockerについては、Docker Engine APIの設定ミスが攻撃者にとって有益であることがわかっています。Ngrok Botnetの暗号化ボットは、2018年以降、安全でないDockerサーバーを嗅ぎまわって、独自のコンテナをスピンアップし、被害者のインフラ上でマルウェアを実行しています。
Dokiは、このマルウェアのより狡猾で悪質なバージョンであり、同じボットネットを利用して、同じ攻撃経路で成功しています。Dokiは、同じボットネットで成功し、同じ攻撃ベクトルであるAPIの誤設定を露呈しました。この誤設定は、コードの展開やサーバーの公開の前に対処されるべきでした。Dokiは、風刺的な暗号通貨であるDogecoinのブロックチェーンを利用して、事実上検出不可能なバックドアとして機能しています。現状では、1月以降、ほとんど痕跡を残さずにのたうち回っています。
このマルウェアは、基本的にブロックチェーンウォレットを悪用してコマンド&コントロール(C2)ドメイン名を生成するもので、それ自体は目新しいものではありませんが、Dokiは感染したサーバー上でリモートコードを実行する継続的な機能を提供し、ランサムウェアやDDoSなどの様々な有害なマルウェアベースの攻撃への道を開きます。Dokiは、いわば "骨を持ったDoge "のように容赦なく攻撃を仕掛けてきます。Intezer社では、この脅威の全体像と、その広大なペイロードについて、詳細な記事を掲載しています。
コードでドキドキの経路を見抜く
Dokiは、分散型ブロックチェーンネットワーク上で動作するバックドアであり、痕跡を消し、ホストのより多くの領域にアクセスし、感染を拡大し続けるために、とらえどころのない迅速なコンテナエスケープ技術を採用していることから、開発者やセキュリティチームにとっては、やや悪夢のような存在となっています。
しかし、Dokiは安全なAPIポートを持つDockerサーバには感染しません。運用中にこれらのポートを誤って設定することは、広範囲に影響を及ぼすミスですが、クラウド開発者のセキュリティ意識と実践的なセキュアコーディングスキルの両方に関する効果的なトレーニングは、このような複雑で攻撃性の高いマルウェアを前にしては、やや「単純」な修正です。
安全ではないDocker APIの例を見てみましょう。Dokiが侵入経路を見つけて広がり始める可能性があるものです。
dockerd -H tcp://0.0.0.0:2375
誤った設定を見つけられますか?保護されたバージョンは以下のようになります。
dockerd -H tcp://0.0.0.0:2376 --tlsverify --tlscacert=/etc/ssl/certs/ca.pem --tlscert=/etc/ssl/certs/server-cert.pem --tlskey=/etc/ssl/private/server-key.pem
安全でない例では、Docker Engine APIはポートTCP 2375でリスニングしており、どのような接続要求も受け付けますので、Dockerサーバに到達した誰もが利用可能です。
安全な例では、Docker Engine APIはTLS証明書検証を使用するように設定されており、あなたのCAによって信頼された証明書を提供するクライアントからの接続のみを受け入れます。
開発者がDokiの感染の根本的な原因を特定して修正するのを助けるために、ゲーム化された全く新しい課題を用意しています。 ここで:
セキュアなクラウドインフラは、チームスポーツです。
クラウドの設定ミスにより、組織は2018年から2019年にかけて5兆円もの損害を被り、何十億もの記録が流出し、取り返しのつかない評判の低下を招いています。これは、数十億の記録が流出し、取り返しのつかない評判の低下につながることを意味します。公開されているポートの監視と修正(理想的にはデプロイ前)、未知のコンテナのチェック、過剰なサーバー負荷の監視などの対策によって、Dokiのような雪だるま式の被害を食い止めることができると考えれば、安心感を得るための小さな代償だと言えるでしょう。
全社的なセキュリティ意識は非常に重要であり、SDLCに関わるすべての人にとって、セキュリティのベストプラクティスを用いて運用することは交渉の余地がありません。最良の組織は、強固なDevSecOpsプロセスに取り組んでおり、セキュリティに対する責任が共有され、開発者とAppSecの専門家は、一般的な脆弱性がソフトウェアや重要なインフラに入り込むのを阻止するための知識とツールを持っています。
セキュリティを意識した、優れたクラウドエンジニアとしてスタートしたいですか?今すぐ自分のスキルを試してみましょう。
サイバー攻撃はますます頻繁になり、Linuxベースのインフラストラクチャに影響を与える脅威もますます一般的になっています。最終目標は、クラウドに保存されている機密データの宝庫を開ける機会を得ることです。
マティアス・マドゥ博士は、セキュリティ専門家、研究者、CTO、セキュア・コード・ウォリアーの共同創設者です。マティアスはゲント大学で静的解析ソリューションを中心としたアプリケーションセキュリティの博士号を取得しました。その後、米国のFortifyに入社し、開発者が安全なコードを書くのを手助けせずに、コードの問題を検出するだけでは不十分であることに気づきました。これがきっかけで、開発者を支援し、セキュリティの負担を軽減し、顧客の期待を超える製品を開発するようになりました。Team Awesomeの一員としてデスクにいない時は、RSAカンファレンス、BlackHat、DefConなどのカンファレンスでプレゼンテーションを行うステージでのプレゼンテーションを楽しんでいます。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。
デモを予約
マティアス・マドゥ博士は、セキュリティ専門家、研究者、CTO、セキュア・コード・ウォリアーの共同創設者です。マティアスはゲント大学で静的解析ソリューションを中心としたアプリケーションセキュリティの博士号を取得しました。その後、米国のFortifyに入社し、開発者が安全なコードを書くのを手助けせずに、コードの問題を検出するだけでは不十分であることに気づきました。これがきっかけで、開発者を支援し、セキュリティの負担を軽減し、顧客の期待を超える製品を開発するようになりました。Team Awesomeの一員としてデスクにいない時は、RSAカンファレンス、BlackHat、DefConなどのカンファレンスでプレゼンテーションを行うステージでのプレゼンテーションを楽しんでいます。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者および開発者です。フォーティファイ・ソフトウェアや自身の会社であるセンセイ・セキュリティなどの企業向けにソリューションを開発してきました。マティアスはキャリアを通じて、複数のアプリケーションセキュリティ研究プロジェクトを主導し、それが商用製品につながり、10件以上の特許を取得しています。デスクから離れている時には、上級アプリケーション・セキュリティ・トレーニング・コースの講師を務め、RSA Conference、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどのグローバルカンファレンスで定期的に講演を行っています。
マティアスはゲント大学でコンピューター工学の博士号を取得し、そこでアプリケーションの内部動作を隠すためのプログラムの難読化によるアプリケーションセキュリティを学びました。
日本語の擬音語では、「ドキドキ」("""")というフレーズは、激しく鼓動する心臓の音を表しています。これはまさに、DockerサーバがDokiに感染した場合に、セキュリティチームのメンバーが経験するかもしれないことを意味しています。控えめに言っても、それにふさわしい名前です。
クラウドインフラへの依存度が高まる中、セキュリティのベストプラクティスを正確かつスケーラブルに有効活用することが不可欠です。また、アプリケーションを安全に展開するための最低限の機能だけでなく、コンテナセキュリティのためのカスタマイズされた対策をSDLC全体で周知し、展開する必要があります。
サイバー攻撃はますます頻繁になってきており、Linuxベースのインフラに影響を与える脅威はより一般的になってきています。その最終目的は、クラウドに保存されている機密データの略奪品を割ることです。Dokiはまさにそれを目的としており、検出されず、強力で効果的な状態を維持するために複数の技術を使用しており、Dockerベースのセキュリティ問題の領域ではこれまでに見られなかったものです。
Dokiとは何か、どのような仕組みなのか。
侵害されたアプリケーションの多くに共通するテーマですが、ソフトウェアがどのように侵害されたかについては、セキュリティの誤設定が受け入れがたいほど大きな役割を果たしています。特にDockerについては、Docker Engine APIの設定ミスが攻撃者にとって有益であることがわかっています。Ngrok Botnetの暗号化ボットは、2018年以降、安全でないDockerサーバーを嗅ぎまわって、独自のコンテナをスピンアップし、被害者のインフラ上でマルウェアを実行しています。
Dokiは、このマルウェアのより狡猾で悪質なバージョンであり、同じボットネットを利用して、同じ攻撃経路で成功しています。Dokiは、同じボットネットで成功し、同じ攻撃ベクトルであるAPIの誤設定を露呈しました。この誤設定は、コードの展開やサーバーの公開の前に対処されるべきでした。Dokiは、風刺的な暗号通貨であるDogecoinのブロックチェーンを利用して、事実上検出不可能なバックドアとして機能しています。現状では、1月以降、ほとんど痕跡を残さずにのたうち回っています。
このマルウェアは、基本的にブロックチェーンウォレットを悪用してコマンド&コントロール(C2)ドメイン名を生成するもので、それ自体は目新しいものではありませんが、Dokiは感染したサーバー上でリモートコードを実行する継続的な機能を提供し、ランサムウェアやDDoSなどの様々な有害なマルウェアベースの攻撃への道を開きます。Dokiは、いわば "骨を持ったDoge "のように容赦なく攻撃を仕掛けてきます。Intezer社では、この脅威の全体像と、その広大なペイロードについて、詳細な記事を掲載しています。
コードでドキドキの経路を見抜く
Dokiは、分散型ブロックチェーンネットワーク上で動作するバックドアであり、痕跡を消し、ホストのより多くの領域にアクセスし、感染を拡大し続けるために、とらえどころのない迅速なコンテナエスケープ技術を採用していることから、開発者やセキュリティチームにとっては、やや悪夢のような存在となっています。
しかし、Dokiは安全なAPIポートを持つDockerサーバには感染しません。運用中にこれらのポートを誤って設定することは、広範囲に影響を及ぼすミスですが、クラウド開発者のセキュリティ意識と実践的なセキュアコーディングスキルの両方に関する効果的なトレーニングは、このような複雑で攻撃性の高いマルウェアを前にしては、やや「単純」な修正です。
安全ではないDocker APIの例を見てみましょう。Dokiが侵入経路を見つけて広がり始める可能性があるものです。
dockerd -H tcp://0.0.0.0:2375
誤った設定を見つけられますか?保護されたバージョンは以下のようになります。
dockerd -H tcp://0.0.0.0:2376 --tlsverify --tlscacert=/etc/ssl/certs/ca.pem --tlscert=/etc/ssl/certs/server-cert.pem --tlskey=/etc/ssl/private/server-key.pem
安全でない例では、Docker Engine APIはポートTCP 2375でリスニングしており、どのような接続要求も受け付けますので、Dockerサーバに到達した誰もが利用可能です。
安全な例では、Docker Engine APIはTLS証明書検証を使用するように設定されており、あなたのCAによって信頼された証明書を提供するクライアントからの接続のみを受け入れます。
開発者がDokiの感染の根本的な原因を特定して修正するのを助けるために、ゲーム化された全く新しい課題を用意しています。 ここで:
セキュアなクラウドインフラは、チームスポーツです。
クラウドの設定ミスにより、組織は2018年から2019年にかけて5兆円もの損害を被り、何十億もの記録が流出し、取り返しのつかない評判の低下を招いています。これは、数十億の記録が流出し、取り返しのつかない評判の低下につながることを意味します。公開されているポートの監視と修正(理想的にはデプロイ前)、未知のコンテナのチェック、過剰なサーバー負荷の監視などの対策によって、Dokiのような雪だるま式の被害を食い止めることができると考えれば、安心感を得るための小さな代償だと言えるでしょう。
全社的なセキュリティ意識は非常に重要であり、SDLCに関わるすべての人にとって、セキュリティのベストプラクティスを用いて運用することは交渉の余地がありません。最良の組織は、強固なDevSecOpsプロセスに取り組んでおり、セキュリティに対する責任が共有され、開発者とAppSecの専門家は、一般的な脆弱性がソフトウェアや重要なインフラに入り込むのを阻止するための知識とツールを持っています。
セキュリティを意識した、優れたクラウドエンジニアとしてスタートしたいですか?今すぐ自分のスキルを試してみましょう。
日本語の擬音語では、「ドキドキ」("""")というフレーズは、激しく鼓動する心臓の音を表しています。これはまさに、DockerサーバがDokiに感染した場合に、セキュリティチームのメンバーが経験するかもしれないことを意味しています。控えめに言っても、それにふさわしい名前です。
クラウドインフラへの依存度が高まる中、セキュリティのベストプラクティスを正確かつスケーラブルに有効活用することが不可欠です。また、アプリケーションを安全に展開するための最低限の機能だけでなく、コンテナセキュリティのためのカスタマイズされた対策をSDLC全体で周知し、展開する必要があります。
サイバー攻撃はますます頻繁になってきており、Linuxベースのインフラに影響を与える脅威はより一般的になってきています。その最終目的は、クラウドに保存されている機密データの略奪品を割ることです。Dokiはまさにそれを目的としており、検出されず、強力で効果的な状態を維持するために複数の技術を使用しており、Dockerベースのセキュリティ問題の領域ではこれまでに見られなかったものです。
Dokiとは何か、どのような仕組みなのか。
侵害されたアプリケーションの多くに共通するテーマですが、ソフトウェアがどのように侵害されたかについては、セキュリティの誤設定が受け入れがたいほど大きな役割を果たしています。特にDockerについては、Docker Engine APIの設定ミスが攻撃者にとって有益であることがわかっています。Ngrok Botnetの暗号化ボットは、2018年以降、安全でないDockerサーバーを嗅ぎまわって、独自のコンテナをスピンアップし、被害者のインフラ上でマルウェアを実行しています。
Dokiは、このマルウェアのより狡猾で悪質なバージョンであり、同じボットネットを利用して、同じ攻撃経路で成功しています。Dokiは、同じボットネットで成功し、同じ攻撃ベクトルであるAPIの誤設定を露呈しました。この誤設定は、コードの展開やサーバーの公開の前に対処されるべきでした。Dokiは、風刺的な暗号通貨であるDogecoinのブロックチェーンを利用して、事実上検出不可能なバックドアとして機能しています。現状では、1月以降、ほとんど痕跡を残さずにのたうち回っています。
このマルウェアは、基本的にブロックチェーンウォレットを悪用してコマンド&コントロール(C2)ドメイン名を生成するもので、それ自体は目新しいものではありませんが、Dokiは感染したサーバー上でリモートコードを実行する継続的な機能を提供し、ランサムウェアやDDoSなどの様々な有害なマルウェアベースの攻撃への道を開きます。Dokiは、いわば "骨を持ったDoge "のように容赦なく攻撃を仕掛けてきます。Intezer社では、この脅威の全体像と、その広大なペイロードについて、詳細な記事を掲載しています。
コードでドキドキの経路を見抜く
Dokiは、分散型ブロックチェーンネットワーク上で動作するバックドアであり、痕跡を消し、ホストのより多くの領域にアクセスし、感染を拡大し続けるために、とらえどころのない迅速なコンテナエスケープ技術を採用していることから、開発者やセキュリティチームにとっては、やや悪夢のような存在となっています。
しかし、Dokiは安全なAPIポートを持つDockerサーバには感染しません。運用中にこれらのポートを誤って設定することは、広範囲に影響を及ぼすミスですが、クラウド開発者のセキュリティ意識と実践的なセキュアコーディングスキルの両方に関する効果的なトレーニングは、このような複雑で攻撃性の高いマルウェアを前にしては、やや「単純」な修正です。
安全ではないDocker APIの例を見てみましょう。Dokiが侵入経路を見つけて広がり始める可能性があるものです。
dockerd -H tcp://0.0.0.0:2375
誤った設定を見つけられますか?保護されたバージョンは以下のようになります。
dockerd -H tcp://0.0.0.0:2376 --tlsverify --tlscacert=/etc/ssl/certs/ca.pem --tlscert=/etc/ssl/certs/server-cert.pem --tlskey=/etc/ssl/private/server-key.pem
安全でない例では、Docker Engine APIはポートTCP 2375でリスニングしており、どのような接続要求も受け付けますので、Dockerサーバに到達した誰もが利用可能です。
安全な例では、Docker Engine APIはTLS証明書検証を使用するように設定されており、あなたのCAによって信頼された証明書を提供するクライアントからの接続のみを受け入れます。
開発者がDokiの感染の根本的な原因を特定して修正するのを助けるために、ゲーム化された全く新しい課題を用意しています。 ここで:
セキュアなクラウドインフラは、チームスポーツです。
クラウドの設定ミスにより、組織は2018年から2019年にかけて5兆円もの損害を被り、何十億もの記録が流出し、取り返しのつかない評判の低下を招いています。これは、数十億の記録が流出し、取り返しのつかない評判の低下につながることを意味します。公開されているポートの監視と修正(理想的にはデプロイ前)、未知のコンテナのチェック、過剰なサーバー負荷の監視などの対策によって、Dokiのような雪だるま式の被害を食い止めることができると考えれば、安心感を得るための小さな代償だと言えるでしょう。
全社的なセキュリティ意識は非常に重要であり、SDLCに関わるすべての人にとって、セキュリティのベストプラクティスを用いて運用することは交渉の余地がありません。最良の組織は、強固なDevSecOpsプロセスに取り組んでおり、セキュリティに対する責任が共有され、開発者とAppSecの専門家は、一般的な脆弱性がソフトウェアや重要なインフラに入り込むのを阻止するための知識とツールを持っています。
セキュリティを意識した、優れたクラウドエンジニアとしてスタートしたいですか?今すぐ自分のスキルを試してみましょう。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。
レポートを表示デモを予約
マティアス・マドゥ博士は、セキュリティ専門家、研究者、CTO、セキュア・コード・ウォリアーの共同創設者です。マティアスはゲント大学で静的解析ソリューションを中心としたアプリケーションセキュリティの博士号を取得しました。その後、米国のFortifyに入社し、開発者が安全なコードを書くのを手助けせずに、コードの問題を検出するだけでは不十分であることに気づきました。これがきっかけで、開発者を支援し、セキュリティの負担を軽減し、顧客の期待を超える製品を開発するようになりました。Team Awesomeの一員としてデスクにいない時は、RSAカンファレンス、BlackHat、DefConなどのカンファレンスでプレゼンテーションを行うステージでのプレゼンテーションを楽しんでいます。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者および開発者です。フォーティファイ・ソフトウェアや自身の会社であるセンセイ・セキュリティなどの企業向けにソリューションを開発してきました。マティアスはキャリアを通じて、複数のアプリケーションセキュリティ研究プロジェクトを主導し、それが商用製品につながり、10件以上の特許を取得しています。デスクから離れている時には、上級アプリケーション・セキュリティ・トレーニング・コースの講師を務め、RSA Conference、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどのグローバルカンファレンスで定期的に講演を行っています。
マティアスはゲント大学でコンピューター工学の博士号を取得し、そこでアプリケーションの内部動作を隠すためのプログラムの難読化によるアプリケーションセキュリティを学びました。
日本語の擬音語では、「ドキドキ」("""")というフレーズは、激しく鼓動する心臓の音を表しています。これはまさに、DockerサーバがDokiに感染した場合に、セキュリティチームのメンバーが経験するかもしれないことを意味しています。控えめに言っても、それにふさわしい名前です。
クラウドインフラへの依存度が高まる中、セキュリティのベストプラクティスを正確かつスケーラブルに有効活用することが不可欠です。また、アプリケーションを安全に展開するための最低限の機能だけでなく、コンテナセキュリティのためのカスタマイズされた対策をSDLC全体で周知し、展開する必要があります。
サイバー攻撃はますます頻繁になってきており、Linuxベースのインフラに影響を与える脅威はより一般的になってきています。その最終目的は、クラウドに保存されている機密データの略奪品を割ることです。Dokiはまさにそれを目的としており、検出されず、強力で効果的な状態を維持するために複数の技術を使用しており、Dockerベースのセキュリティ問題の領域ではこれまでに見られなかったものです。
Dokiとは何か、どのような仕組みなのか。
侵害されたアプリケーションの多くに共通するテーマですが、ソフトウェアがどのように侵害されたかについては、セキュリティの誤設定が受け入れがたいほど大きな役割を果たしています。特にDockerについては、Docker Engine APIの設定ミスが攻撃者にとって有益であることがわかっています。Ngrok Botnetの暗号化ボットは、2018年以降、安全でないDockerサーバーを嗅ぎまわって、独自のコンテナをスピンアップし、被害者のインフラ上でマルウェアを実行しています。
Dokiは、このマルウェアのより狡猾で悪質なバージョンであり、同じボットネットを利用して、同じ攻撃経路で成功しています。Dokiは、同じボットネットで成功し、同じ攻撃ベクトルであるAPIの誤設定を露呈しました。この誤設定は、コードの展開やサーバーの公開の前に対処されるべきでした。Dokiは、風刺的な暗号通貨であるDogecoinのブロックチェーンを利用して、事実上検出不可能なバックドアとして機能しています。現状では、1月以降、ほとんど痕跡を残さずにのたうち回っています。
このマルウェアは、基本的にブロックチェーンウォレットを悪用してコマンド&コントロール(C2)ドメイン名を生成するもので、それ自体は目新しいものではありませんが、Dokiは感染したサーバー上でリモートコードを実行する継続的な機能を提供し、ランサムウェアやDDoSなどの様々な有害なマルウェアベースの攻撃への道を開きます。Dokiは、いわば "骨を持ったDoge "のように容赦なく攻撃を仕掛けてきます。Intezer社では、この脅威の全体像と、その広大なペイロードについて、詳細な記事を掲載しています。
コードでドキドキの経路を見抜く
Dokiは、分散型ブロックチェーンネットワーク上で動作するバックドアであり、痕跡を消し、ホストのより多くの領域にアクセスし、感染を拡大し続けるために、とらえどころのない迅速なコンテナエスケープ技術を採用していることから、開発者やセキュリティチームにとっては、やや悪夢のような存在となっています。
しかし、Dokiは安全なAPIポートを持つDockerサーバには感染しません。運用中にこれらのポートを誤って設定することは、広範囲に影響を及ぼすミスですが、クラウド開発者のセキュリティ意識と実践的なセキュアコーディングスキルの両方に関する効果的なトレーニングは、このような複雑で攻撃性の高いマルウェアを前にしては、やや「単純」な修正です。
安全ではないDocker APIの例を見てみましょう。Dokiが侵入経路を見つけて広がり始める可能性があるものです。
dockerd -H tcp://0.0.0.0:2375
誤った設定を見つけられますか?保護されたバージョンは以下のようになります。
dockerd -H tcp://0.0.0.0:2376 --tlsverify --tlscacert=/etc/ssl/certs/ca.pem --tlscert=/etc/ssl/certs/server-cert.pem --tlskey=/etc/ssl/private/server-key.pem
安全でない例では、Docker Engine APIはポートTCP 2375でリスニングしており、どのような接続要求も受け付けますので、Dockerサーバに到達した誰もが利用可能です。
安全な例では、Docker Engine APIはTLS証明書検証を使用するように設定されており、あなたのCAによって信頼された証明書を提供するクライアントからの接続のみを受け入れます。
開発者がDokiの感染の根本的な原因を特定して修正するのを助けるために、ゲーム化された全く新しい課題を用意しています。 ここで:
セキュアなクラウドインフラは、チームスポーツです。
クラウドの設定ミスにより、組織は2018年から2019年にかけて5兆円もの損害を被り、何十億もの記録が流出し、取り返しのつかない評判の低下を招いています。これは、数十億の記録が流出し、取り返しのつかない評判の低下につながることを意味します。公開されているポートの監視と修正(理想的にはデプロイ前)、未知のコンテナのチェック、過剰なサーバー負荷の監視などの対策によって、Dokiのような雪だるま式の被害を食い止めることができると考えれば、安心感を得るための小さな代償だと言えるでしょう。
全社的なセキュリティ意識は非常に重要であり、SDLCに関わるすべての人にとって、セキュリティのベストプラクティスを用いて運用することは交渉の余地がありません。最良の組織は、強固なDevSecOpsプロセスに取り組んでおり、セキュリティに対する責任が共有され、開発者とAppSecの専門家は、一般的な脆弱性がソフトウェアや重要なインフラに入り込むのを阻止するための知識とツールを持っています。
セキュリティを意識した、優れたクラウドエンジニアとしてスタートしたいですか?今すぐ自分のスキルを試してみましょう。
目次
マティアス・マドゥ博士は、セキュリティ専門家、研究者、CTO、セキュア・コード・ウォリアーの共同創設者です。マティアスはゲント大学で静的解析ソリューションを中心としたアプリケーションセキュリティの博士号を取得しました。その後、米国のFortifyに入社し、開発者が安全なコードを書くのを手助けせずに、コードの問題を検出するだけでは不十分であることに気づきました。これがきっかけで、開発者を支援し、セキュリティの負担を軽減し、顧客の期待を超える製品を開発するようになりました。Team Awesomeの一員としてデスクにいない時は、RSAカンファレンス、BlackHat、DefConなどのカンファレンスでプレゼンテーションを行うステージでのプレゼンテーションを楽しんでいます。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。
デモを予約[ダウンロード]始めるためのリソース
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText アプリケーションセキュリティのパワー + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
.png)
