.NET 開発基盤部会 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

昨今、流行りの色々。

詳細

脆弱性検査、脆弱性診断

ソフトウェア内部の脆弱性(パッチが未提供のもの)

  • OS、ミドル
  • Webアプリケーション

検査の手法

  • ホワイト・ボックス
  • ブラック・ボックス(通常コチラ)
    以下の様な呼称もある
    • セキュリティ・スキャン
    • セキュリティ・ホール検査
    • 侵入検査、ペネストレーション・テスト
    • ファジング(予測不可能な入力データを与える)

検査の手段

  • 手動
    • ツールでは検出困難な検査が出来る。
  • 自動(ツール)
    • 検出能力に限界がある。
    • 複数の脆弱性を組み合わせた攻撃などは検出できない。
    • 検査結果の分析とサイトに合った対策などは人手が必要。

比較

#項目OS、ミドルWebアプリケーション
1検査対象インストールしたソフトの脆弱性
サーバ設定の脆弱性
開発したアプリケーションのソースコードの脆弱性
2検査項目OS、ミドルの脆弱性開発したアプリケーションの脆弱性
3実施時期新規構築時、設定変更時、定期的ページ / アプリケーション の 追加時 / 稼働前
4実施方法ホワイト・ボックス設計書レビューソースコード・レビュー
ブラック・ボックス人手での侵入・攻撃テスト
ツールによるスキャン、結果分析
人手での各種インジェクション・テスト
ツールによるスキャン、結果分析
5対処方法バージョンアップ、パッチ適用、定期的検査修正、類似見直し、再発防止

Scanner

もはや、根付いた感のある

「脆弱性検査ツール(Vulnerability Scanner)」

の類。

Webアプリケーション脆弱性検査ツール

  • AppSpider?
  • Penetrator
  • AppScan?
  • Fortify WebInspect?
  • VEX -Vulnerability Explorer
  • VAddy
  • OWASP ZAP

ネットワーク脆弱性検査ツール

  • InsightVM
  • Penetrator
  • SecureScout?
  • QualysGuard?
  • Nessus
  • Retina Network Security Scanner
  • ISS Internet Scanner
  • McAfee? Vulnerability Manager

OSS

OSS関連は、昨今、熱い。

Black Duck

  • ブラック・ダックが日本法人設立が
    2009年なので10年かけて盛り上がった感。
  • 2017年にシノプシスがブラックダックを買収している。
  • シノプシスは、組み込み系の開発ツールベンダ
    (正確には、EDA業界におけるビッグ3の1つ)
  • シノプシスの技術(Coverity等)も活用
  • 非常に高性能&高価なソリューションに。

WhiteSource?

ファイル自体をアップロードしない(ハッシュのみ)

  • スニペットレベルのコンタミは検出できない。
  • ...が、SaaS利用可能で廉価。

Dependency Monitoring

  • 特徴
    • 依存関係管理ファイルに絞ってスキャン。
    • 基本的にはGitリポジトリをスキャン。
    • ツールによって対応している言語に差がある。
    • 非常に廉価。
  • 機能
    1. 依存関係管理ファイルをスキャン
    2. Gitリポジトリをスキャン
    3. 脆弱性が発見されたら、Pull Requestを作成。
    4. コンテナ・レジストリもスキャン可能。
  • ツールs
  • npm audit
    • 言語:Node.JS
    • 機能:1
  • Snyk

セグメンテーション

セグメンテーションすると

  • 松 :
    • Black Duck
    • 自動車会社、大手企業
  • 竹 :
    • WhiteSource?
    • 大手 - 中堅企業
  • 梅 :
    • Dependency Monitoring
    • 中小企業、Webケー企業

的。

参考

Scanner

OSS

Black Duck

WhiteSource?

Dependency Monitoring

  • 比較

トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2020-10-09 (金) 11:36:08 (15d)