• デジタル庁推奨APIゲートウェイ「Kong Gateway」のご紹介
• OSS紹介ページ 今月のアップデート
• OSS紹介ページ 今月のアクセスランキング
• 今月注目のバグ&セキュリティ情報

1.デジタル庁推奨APIゲートウェイ「Kong Gateway」のご紹介

2018年に取り上げましたが、久しぶりにKong Gatewayを紹介します。

Kong Gatewayは軽量かつクラウドネイティブなAPIゲートウェイです。
APIゲートウェイは様々なプロダクトが用意されていますが比較調査された結果、デジタル庁の推奨モジュールに認定されています。

Kong GatewayはSaaS版とSelf-managed版が用意されておりサービス利用するか自前で運用するかは選択することが可能です。

APIゲートウェイとしての基本機能はOSS版でも利用可能ですが、GraphQLのサポートやOpenID Connectによる外部IdP連携などを行いたい場合はEnterprise版の利用が必要です。

OSS版とEnterprise版の差異については以下をご参照ください。
https://docs.konghq.com/gateway/latest/

Kong Gatewayは各機能がPluginとして提供されておりニーズに応じて拡張できます。
Pluginは自身でカスタマイズ開発することも可能で、Javascript, Go, Pythonがサポートされています。

また、KongはKong Gateway以外にもInsomniaというAPI設計・開発・テスト用のクライアントツールも提供しています。
https://insomnia.rest/

InsomniaではOpenAPI SpecificationでのAPI仕様の作成やGUIベースでAPI実行・テストを行うことが可能です。
RESTだけではなくGraphQLやgRPCなど様々なプロトコルをサポートしている点も魅力ですね。

今回はKongが提供する関連製品について簡単に紹介を行いました。

Kong GatewayのOSS版については構築手順書がインターネットで公開されており、比較的簡単に利用を開始することができます。
https://data-society-alliance.org/wp-content/uploads/2022/06/Kong%E6%A7%8B%E7%AF%89%E6%89%8B%E9%A0%86%E6%9B%B8_20220701_v1.0.0.pdf
APIゲートウェイをお探しの方はぜひお試しください。

OpenStandiaではAPIゲートウェイなどクラウドネイティブ時代に必要なアプリケーションについてラインナップを拡大しています。
現在のサポート対象OSSは下記OpenStandiaサイトから確認できます。


◆OpenStandiaサポート対象OSS一覧
https://openstandia.jp/services/#supportlist

2.OSS紹介ページ 今月のアップデート（更新：3件）

（更新）
Dart (https://openstandia.jp/oss_info/dart/)
Fluent Bit (https://openstandia.jp/oss_info/fluentbit/)
OpenStack (https://openstandia.jp/oss_info/openstack/)

3.OSS紹介ページ 今月のアクセスランキングTOP10

オープンソース情報ページ「OpenStandia OSS紹介」のアクセスTOP10をご紹介

↑ 1位 (9位) Keycloak (https://openstandia.jp/oss_info/keycloak/)
↓ 2位 (1位) Apache Tomcat (https://openstandia.jp/oss_info/tomcat/)
↓ 3位 (2位) PHP (https://openstandia.jp/oss_info/php/)
↓ 4位 (3位) Apache HTTP Server (https://openstandia.jp/oss_info/apache/)
↓ 5位 (4位) PostgreSQL (https://openstandia.jp/oss_info/postgresql/)
↓ 6位 (5位) MySQL (https://openstandia.jp/oss_info/mysql/)
→ 7位 (7位) Nginx (https://openstandia.jp/oss_info/nginx/)
↓ 8位 (6位) Spring Framework (https://openstandia.jp/oss_info/spring/)
↓ 9位 (8位) Red Hat Enterprise Linux (https://openstandia.jp/oss_info/redhatenterpriselinux/)
→ 10位 (10位) Ruby on Rails (https://openstandia.jp/oss_info/rubyonrails/)
※( )内は前月の順位


◆OSS総合情報ページ「OpenStandia OSS紹介」はこちら
https://openstandia.jp/oss_info/

4.今月注目のバグ&セキュリティ情報

【Flatpak】 RequestBackground ポータル経由のサンドボックスエスケープ

　　Flatpak は、Linux 上でサンドボックス化されたデスクトップアプリケーションを構築、配布、実行するためのシステムです。

　　1.10.9、1.12.9、1.14.6、1.15.8 より前のバージョンでは、悪意のあるFlatpak アプリまたは侵害された Flatpak アプリがサンドボックス外で任意のコードを実行する可能性があります。

　　通常、`flatpak run` の `--command` 引数には、指定された Flatpakアプリで実行するコマンドと、オプションでいくつかの引数が指定されます。

　　ただし、代わりに `--bind` などの `bwrap` 引数を `--command=` に渡すことができます。

　　Flatpak アプリ内から、任意の `commandline` をポータルインターフェイス`org.freedesktop.portal.Background.RequestBackground` に渡すことができます。

　　これを `--command` と引数に変換すると、引数を `bwrap` に直接渡すのと同じ効果が得られるため、サンドボックスエスケープに使用できます。

　　解決策は、`--` 引数を `bwrap` に渡すことです。

　　これにより、オプションの処理が停止します。

　　これは、bubblewrap 0.3.0 以降でサポートされています。

　　サポートされているすべてのバージョンの Flatpak には、少なくともそのバージョンの bubblewrap が必要です。

　　xdg-desktop-portal バージョン 1.18.4 では、Flatpak アプリが -- で始まらないコマンドの .desktop ファイルのみを作成できるようにすることで、この脆弱性を軽減します。

　　この脆弱性は、1.15.8、1.10.9、1.12.9、および 1.14.6 で修正されています。

詳細は下記関連情報の National Vulnerability Database のページをご参照ください。

本脆弱性の影響を受ける Firefox のバージョンは下記となります。
　・Red Hat Enterprise Linux 7
　　flatpak(*)

　・Red Hat Enterprise Linux 8
　　flatpak(*)

　・Red Hat Enterprise Linux 9
　　flatpak(*)

　　*詳細バージョンについては、Red Hat 社の今後のアナウンスをご確認ください。

関連情報
・National Vulnerability Database
　https://nvd.nist.gov/vuln/detail/CVE-2024-32462

・Common Vulnerabilities and Exposures (CVE)
　https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-32462


OpenStandia年間サポートサービスでは毎週、セキュリティアラートに関する情報、及びバグFIXに関する情報を提供しています。


◆OpenStandiaオープンソース年間サポートサービスのご紹介
https://openstandia.jp/services/

• NRI OSSソリューションマガジン（メールマガジン）トップへ