NRI OSSソリューションマガジン  2024.05.15発行 Vol.209

===================================
※配信停止方法や配信対象等については、このメールの末尾をご覧ください。


───────────────────────────────────
◆◇ NRI OSSソリューションマガジン  2024.5.15発行   Vol.209
───────────────────────────────────
目次
1.デジタル庁推奨APIゲートウェイ「Kong Gateway」のご紹介
2.【更新3件】OSS最新アップデート
3.【TOP10】OSS紹介サイトアクセスランキング
4.【今月注目のバグ&セキュリティ情報】

■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□■
1.デジタル庁推奨APIゲートウェイ「Kong Gateway」のご紹介
■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□■

2018年に取り上げましたが、久しぶりにKong Gatewayを紹介します。

Kong Gatewayは軽量かつクラウドネイティブなAPIゲートウェイです。
APIゲートウェイは様々なプロダクトが用意されていますが
比較調査された結果、デジタル庁の推奨モジュールに認定されています。

Kong GatewayはSaaS版とSelf-managed版が用意されており
サービス利用するか自前で運用するかは選択することが可能です。

APIゲートウェイとしての基本機能はOSS版でも利用可能ですが、
GraphQLのサポートやOpenID Connectによる外部IdP連携などを行いたい場合は
Enterprise版の利用が必要です。

OSS版とEnterprise版の差異については以下をご参照ください。
https://docs.konghq.com/gateway/latest/

Kong Gatewayは各機能がPluginとして提供されておりニーズに応じて
拡張できます。
Pluginは自身でカスタマイズ開発することも可能で、
Javascript, Go, Pythonがサポートされています。

また、KongはKong Gateway以外にもInsomniaという
API設計・開発・テスト用のクライアントツールも提供しています。
https://insomnia.rest/

InsomniaではOpenAPI SpecificationでのAPI仕様の作成やGUIベースで
API実行・テストを行うことが可能です。
RESTだけではなくGraphQLやgRPCなど様々なプロトコルをサポートしている点
も魅力ですね。

今回はKongが提供する関連製品について簡単に紹介を行いました。

Kong GatewayのOSS版については構築手順書がインターネットで
公開されており、比較的簡単に利用を開始することができます。
https://data-society-alliance.org/wp-content/uploads/2022/06/Kong%E6%A7%8B%E7%AF%89%E6%89%8B%E9%A0%86%E6%9B%B8_20220701_v1.0.0.pdf
APIゲートウェイをお探しの方はぜひお試しください。

OpenStandiaではAPIゲートウェイなどクラウドネイティブ時代に必要な
アプリケーションについてラインナップを拡大しています。
現在のサポート対象OSSは下記OpenStandiaサイトから確認できます。

◆OpenStandiaサポート対象OSS一覧
https://openstandia.jp/services/

■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
2.OSS紹介ページ 今月のアップデート(更新:3件)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□■
    (更新)
Dart (https://openstandia.jp/oss_info/dart/)
Fluent Bit (https://openstandia.jp/oss_info/fluentbit/)
OpenStack (https://openstandia.jp/oss_info/openstack/)

■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□■
3.今月のOSS紹介サイト アクセスランキング TOP10
■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□■
オープンソース情報サイト「OpenStandia OSS紹介サイト」のアクセスTOP10を紹介

↑	1位 (9位)	Keycloak	(https://openstandia.jp/oss_info/keycloak/)
↓	2位 (1位)	Apache Tomcat	(https://openstandia.jp/oss_info/tomcat/)
↓	3位 (2位)	PHP	(https://openstandia.jp/oss_info/php/)
↓	4位 (3位)	Apache HTTP Server	(https://openstandia.jp/oss_info/apache/)
↓	5位 (4位)	PostgreSQL	(https://openstandia.jp/oss_info/postgresql/)
↓	6位 (5位)	MySQL	(https://openstandia.jp/oss_info/mysql/)
→	7位 (7位)	Nginx	(https://openstandia.jp/oss_info/nginx/)
↓	8位 (6位)	Spring Framework	(https://openstandia.jp/oss_info/spring/)
↓	9位 (8位)	Red Hat Enterprise Linux	(https://openstandia.jp/oss_info/redhatenterpriselinux/)
→	10位 (10位)	Ruby on Rails	(https://openstandia.jp/oss_info/rubyonrails/)

※( )内は前月の順位


◆OSS総合情報サイト「OpenStandia OSS紹介」サイトはこちら
https://openstandia.jp/oss_info/


■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
4.今月注目のバグ&セキュリティ情報
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□■
【Flatpak】 RequestBackground ポータル経由のサンドボックスエスケープ

  Flatpak は、Linux 上でサンドボックス化されたデスクトップ
  アプリケーションを構築、配布、実行するためのシステムです。

  1.10.9、1.12.9、1.14.6、1.15.8 より前のバージョンでは、悪意のある
  Flatpak アプリまたは侵害された Flatpak アプリがサンドボックス外で
  任意のコードを実行する可能性があります。

  通常、`flatpak run` の `--command` 引数には、
  指定された Flatpakアプリで実行するコマンドと、
  オプションでいくつかの引数が指定されます。

  ただし、代わりに `--bind` などの `bwrap` 引数を `--command=` に
  渡すことができます。

  Flatpak アプリ内から、任意の `commandline` をポータルインターフェイス
  `org.freedesktop.portal.Background.RequestBackground` に渡す
  ことができます。

  これを `--command` と引数に変換すると、引数を `bwrap` に直接渡すのと
  同じ効果が得られるため、サンドボックスエスケープに使用できます。

  解決策は、`--` 引数を `bwrap` に渡すことです。

  これにより、オプションの処理が停止します。

  これは、bubblewrap 0.3.0 以降でサポートされています。

  サポートされているすべてのバージョンの Flatpak には、少なくとも
  そのバージョンの bubblewrap が必要です。

  xdg-desktop-portal バージョン 1.18.4 では、
  Flatpak アプリが -- で始まらないコマンドの .desktop ファイルのみを
  作成できるようにすることで、この脆弱性を軽減します。

  この脆弱性は、1.15.8、1.10.9、1.12.9、および 1.14.6 で修正されています。

詳細は下記関連情報の 
National Vulnerability Database のページをご参照ください。

本脆弱性の影響を受ける Firefox のバージョンは下記となります。

 ・Red Hat Enterprise Linux 7
  flatpak(*)

 ・Red Hat Enterprise Linux 8
  flatpak(*)

 ・Red Hat Enterprise Linux 9
  flatpak(*)

  *詳細バージョンについては、Red Hat社の今後のアナウンスをご確認ください。

関連情報
・National Vulnerability Database
 https://nvd.nist.gov/vuln/detail/CVE-2024-32462

・Common Vulnerabilities and Exposures (CVE)
 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-32462

OpenStandia年間サポートサービスでは毎週、セキュリティアラートに
関する情報、及びバグFIXに関する情報を提供しています。


◆OpenStandiaオープンソース年間サポートサービスのご紹介
https://openstandia.jp/services/


━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
NRI OpenStandiaのWebページからセミナー申込やお問い合わせ頂いたお客様、
NRIから委託されたOpenStandia営業と名刺交換をさせて頂いたお客様、
NRIが主催、共催、協賛するセミナー、イベントにご参加して頂いたお客様に
送付しております。
◆商品・サービスに関するお問合せはこちら
https://openstandia.jp/site/contact.html
※注意事項は以下のURLをご確認ください。
https://openstandia.jp/mm/mailmag.html
※配信先メールアドレス変更はこちら
https://openstandia.jp/mm/mmchange.html
※配信停止はこちら
https://openstandia.jp/mm/mmstop.html
OSSソリューションマガジンに関するお問合せ:magazine-ossc-ext@nri.co.jp
発信元:株式会社野村総合研究所
https://openstandia.jp/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
                                
  • OpenStandiaサポート対象オープンソース|50種類以上のOSSのサポートをご提供します。
  • 人気midPoint
  • 人気Keycloak
  • 注目MongoDB
  • ForgeRock AM(OpenAM)
  • ForgeRock IDM(OpenIDM)
  • MongoDB
  • Postfix
  • Apache HTTP Server
  • ZABBIX
  • PostgreSQL
  • Apache Struts
  • Apache Kafka
  • Apache Hadoop
  • Apache Spark
  • Spring Framework
  • Apache Tomcat
  • Solr
  • iBATIS
  • DRBD
  • MySQL
  • JBoss
  • Ruby on Rails
  • Jaspersoft
  • OpenLDAP
  • Apache log4j
  • Apache Subversion
  • ForgeRock DS(OpenDJ)
  • Pacemaker
  • Samba
  • Red Hat Enterprise Linux
  • Nginx
  • BIND
  • Dovecot
  • Pentaho
  • sendmail
  • Courier-IMAP
  • ForgeRock DS(OpenDJ)
  • Heartbeat
  • Hibernate
  • Hinemos
  • MyBatis
  • MySQL Cluster
  • Apache Axis2
  • Squid
  • OpenSSO