.NET 開発基盤部会 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

昨今、流行りの色々。

詳細

Scanner

もはや、根付いた感のある

「脆弱性検査ツール(Vulnerability Scanner)」

の類。

Webアプリケーション脆弱性検査ツール

  • AppSpider?
  • Penetrator
  • AppScan?
  • Fortify WebInspect?
  • VEX -Vulnerability Explorer
  • VAddy
  • OWASP ZAP

ネットワーク脆弱性検査ツール

  • InsightVM
  • Penetrator
  • SecureScout?
  • QualysGuard?
  • Nessus
  • Retina Network Security Scanner
  • ISS Internet Scanner
  • McAfee? Vulnerability Manager

OSS

OSS関連は、昨今、熱い。

Black Duck

  • ブラック・ダックが日本法人設立が
    2009年なので10年かけて盛り上がった感。
  • 2017年にシノプシスがブラックダックを買収している。
  • シノプシスは、組み込み系の開発ツールベンダ
    (正確には、EDA業界におけるビッグ3の1つ)
  • シノプシスの技術(Coverity等)も活用
  • 非常に高性能&高価なソリューションに。

WhiteSource?

ファイル自体をアップロードしない(ハッシュのみ)

  • スニペットレベルのコンタミは検出できない。
  • ...が、SaaS利用可能で廉価。

Dependency Monitoring

  • 特徴
    • 依存関係管理ファイルに絞ってスキャン。
    • 基本的にはGitリポジトリをスキャン。
    • ツールによって対応している言語に差がある。
    • 非常に廉価。
  • 機能
    1. 依存関係管理ファイルをスキャン
    2. Gitリポジトリをスキャン
    3. 脆弱性が発見されたら、Pull Requestを作成。
    4. コンテナ・レジストリもスキャン可能。
  • ツールs
  • npm audit
    • 言語:Node.JS
    • 機能:1
  • GitHub?(Dependabot)
  • Snyk

セグメンテーション

セグメンテーションすると

  • 松 :
    • Black Duck
    • 自動車会社、大手企業
  • 竹 :
    • WhiteSource?
    • 大手 - 中堅企業
  • 梅 :
    • Dependency Monitoring
    • 中小企業、Webケー企業

的。

参考

Scanner

OSS

Black Duck

WhiteSource?

Dependency Monitoring

  • 比較

トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2020-03-19 (木) 18:53:24 (18d)