「.NET 開発基盤部会 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
昨今、流行りの色々。
詳細 †
脆弱性検査、脆弱性診断 †
ソフトウェア内部の脆弱性(パッチが未提供のもの)
検査の手法 †
- ホワイト・ボックス
- ブラック・ボックス(通常コチラ)
以下の様な呼称もある
- セキュリティ・スキャン
- セキュリティ・ホール検査
- 侵入検査、ペネストレーション・テスト
- ファジング(予測不可能な入力データを与える)
検査の手段 †
- 自動(ツール)
- 検出能力に限界がある。
- 複数の脆弱性を組み合わせた攻撃などは検出できない。
- 検査結果の分析とサイトに合った対策などは人手が必要。
比較 †
# | 項目 | OS、ミドル | Webアプリケーション |
1 | 検査対象 | インストールしたソフトの脆弱性 サーバ設定の脆弱性 | 開発したアプリケーションのソースコードの脆弱性 |
2 | 検査項目 | OS、ミドルの脆弱性 | 開発したアプリケーションの脆弱性 |
3 | 実施時期 | 新規構築時、設定変更時、定期的 | ページ / アプリケーション の 追加時 / 稼働前 |
4 | 実施方法 | ホワイト・ボックス | 設計書レビュー | ソースコード・レビュー |
ブラック・ボックス | 人手での侵入・攻撃テスト ツールによるスキャン、結果分析 | 人手での各種インジェクション・テスト ツールによるスキャン、結果分析 |
5 | 対処方法 | バージョンアップ、パッチ適用、定期的検査 | 修正、類似見直し、再発防止 |
Scanner †
もはや、根付いた感のある
「脆弱性検査ツール(Vulnerability Scanner)」
の類。
Webアプリケーション脆弱性検査ツール †
- skipfish
- Googleが開発した動的(能動的)な、Webアプリケーション脆弱性診断ツール。
- 2011年に初回リリースがされており、リポジトリを見る限り、開発は停止している。
- 参考
- ratproxy
- 概要
- Googleが開発した静的(受動的)な、Webアプリケーション脆弱性診断ツール。
- 2008年に初回リリースがされており、リポジトリを見る限り、開発は停止している。
- 参考
- その他
- Penetrator
- Fortify WebInspect?
- VEX -Vulnerability Explorer
- VAddy
ネットワーク脆弱性検査ツール †
- InsightVM
- Penetrator
- SecureScout?
- QualysGuard?
- Nessus
- Retina Network Security Scanner
- ISS Internet Scanner
- McAfee? Vulnerability Manager
OSS †
OSS関連は、昨今、熱い。
Black Duck †
- ブラック・ダックが日本法人設立が
2009年なので10年かけて盛り上がった感。
- 2017年にシノプシスがブラックダックを買収している。
- シノプシスは、組み込み系の開発ツールベンダ
(正確には、EDA業界におけるビッグ3の1つ)
WhiteSource? †
ファイル自体をアップロードしない(ハッシュのみ)
- スニペットレベルのコンタミは検出できない。
- ...が、SaaS利用可能で廉価。
Dependency Monitoring †
- 特徴
- 依存関係管理ファイルに絞ってスキャン。
- 基本的にはGitリポジトリをスキャン。
- ツールによって対応している言語に差がある。
- 非常に廉価。
- 機能
- 依存関係管理ファイルをスキャン
- Gitリポジトリをスキャン
- 脆弱性が発見されたら、Pull Requestを作成。
- コンテナ・レジストリもスキャン可能。
セグメンテーション †
セグメンテーションすると
- 梅 :
- Dependency Monitoring
- 中小企業、Webケー企業
的。
参考 †
Scanner †
OSS †
Black Duck †
WhiteSource? †
Dependency Monitoring †