セキュリティ脆弱性対策ツール のバックアップ(No.4)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• セキュリティ脆弱性対策ツール へ行く。
  • 1 (2020-03-19 (木) 11:13:27)
  • 2 (2020-03-19 (木) 14:05:58)
  • 3 (2020-03-19 (木) 15:20:06)
  • 4 (2020-03-19 (木) 18:53:24)
  • 5 (2020-10-09 (金) 11:36:08)

---

「.NET 開発基盤部会 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る

目次 †

概要 †

昨今、流行りの色々。

詳細 †

Scanner †

もはや、根付いた感のある

「脆弱性検査ツール（Vulnerability Scanner）」

の類。

Webアプリケーション脆弱性検査ツール †

• AppSpider?
• Penetrator
• AppScan?
• Fortify WebInspect?
• VEX -Vulnerability Explorer
• VAddy
• OWASP ZAP

ネットワーク脆弱性検査ツール †

• InsightVM
• Penetrator
• SecureScout?
• QualysGuard?
• Nessus
• Retina Network Security Scanner
• ISS Internet Scanner
• McAfee? Vulnerability Manager

OSS †

OSS関連は、昨今、熱い。

Black Duck †

• ブラック・ダックが日本法人設立が
  2009年なので10年かけて盛り上がった感。

• 2017年にシノプシスがブラックダックを買収している。

• シノプシスは、組み込み系の開発ツールベンダ
  （正確には、EDA業界におけるビッグ3の1つ）

• シノプシスの技術（Coverity等）も活用

• 非常に高性能＆高価なソリューションに。

WhiteSource? †

ファイル自体をアップロードしない（ハッシュのみ）

• スニペットレベルのコンタミは検出できない。
• ...が、SaaS利用可能で廉価。

Dependency Monitoring †

• 特徴
  • 依存関係管理ファイルに絞ってスキャン。
  • 基本的にはGitリポジトリをスキャン。
  • ツールによって対応している言語に差がある。
  • 非常に廉価。

• 機能

  1. 依存関係管理ファイルをスキャン
  2. Gitリポジトリをスキャン
  3. 脆弱性が発見されたら、Pull Requestを作成。
  4. コンテナ・レジストリもスキャン可能。

• ツールｓ

• npm audit
  • 言語：Node.JS
  • 機能：１

• GitHub(Dependabot)
  • 言語：コチラ
  • 機能：２、３

• Snyk
  • 言語：コチラ
  • 機能：２、３、４

• yamory
  • 言語：コチラ
  • 機能：２

• 参考

セグメンテーション †

セグメンテーションすると

• 松 :
  • Black Duck
  • 自動車会社、大手企業

• 竹 :
  • WhiteSource?
  • 大手 - 中堅企業

• 梅 :
  • Dependency Monitoring
  • 中小企業、Webケー企業

的。

参考 †

Scanner †

• 脆弱性検査ツール - Wikipedia
  https://ja.wikipedia.org/wiki/%E8%84%86%E5%BC%B1%E6%80%A7%E6%A4%9C%E6%9F%BB%E3%83%84%E3%83%BC%E3%83%AB

• Webアプリケーション脆弱性対策 - マイクロソフト系技術情報 Wiki
  https://techinfoofmicrosofttech.osscons.jp/index.php?Web%E3%82%A2%E3%83%97%E3%83%AA%E3%82%B1%E3%83%BC%E3%82%B7%E3%83%A7%E3%83%B3%E8%84%86%E5%BC%B1%E6%80%A7%E5%AF%BE%E7%AD%96

OSS †

Black Duck †

• OSS (オープンソース) 管理 Black Duck | シノプシス
  https://www.synopsys.com/ja-jp/software-integrity/security-testing/software-composition-analysis.html

• 米ブラック・ダックが日本法人設立、
  OSSソフトウェア開発製品を提供 ｜ビジネス+IT
  https://www.sbbit.jp/article/cont1/19295

• シノプシスがブラックダックを買収、
  活用広がるOSSをよりセキュアで高品質に - MONOist（モノイスト）
  https://monoist.atmarkit.co.jp/mn/articles/1711/24/news038.html

• ブラック・ダック、オープンソースの3リスクを
  可視化する「Black Duck Hub」 | 日経クロステック（xTECH）
  https://xtech.nikkei.com/it/atcl/column/17/101000415/101300102/

WhiteSource? †

• 「OSS管理で圧倒的コストパフォーマンス」、
  白いソースが黒いアヒルに挑む (1/2) - MONOist（モノイスト）
  https://monoist.atmarkit.co.jp/mn/articles/1708/30/news042.html

• 100万円切るOSS検査サービス「WhiteSource?」が上陸、
  GDEPソルが提供 | 日経クロステック（xTECH）
  https://xtech.nikkei.com/it/atcl/news/17/082902153/

Dependency Monitoring †

• GitHub(Dependabot)

• npm audit

• Snyk
  • Snyk | Develop Fast. Stay Secure
    https://snyk.io/

• Snyk | TechCrunch? Japan
  https://jp.techcrunch.com/tag/snyk/

• オープンソースコードのセキュリティチェックと問題修復を
  開発のワークフローに組み込むSnyk、GitHubとの統合も可能
  https://jp.techcrunch.com/2016/06/24/20160623snyk/

• オープンソースのライブラリのセキュリティチェックと
  脆弱性フィックスを代行するSnykが$7Mを調達
  https://jp.techcrunch.com/2018/03/07/2018-03-06-snyk-snares-7-million-series-a-to-help-developers-deliver-open-source-components-securely/

• デベロッパーのセキュリティをサポートするSnykが約165億円調達
  https://jp.techcrunch.com/2020/01/22/2020-01-21-snyk-snags-150m-investment-as-its-valuation-surpasses-1b/

• Snyk社、新しいコンテナレジストリとの統合を発表 | DevOps? Hub | SB C&S
  https://licensecounter.jp/devops-hub/blog/190814-gdep01/

• yamory
  • yamory | すべてのエンジニアにセキュアな開発を。
    https://yamory.io/
  • オープンソース脆弱性管理ツール「yamory（ヤモリー）」をリリース
    https://www.bizreach.co.jp/pressroom/pressrelease/2019/0827.html

• CVE Details
  • ソフトウェア毎の脆弱性を調べるには CVE Details が便利 - Qiita
    https://qiita.com/watarin/items/67de18a78c67522065e4
  • 例：CVE security vulnerability database.
    Security vulnerabilities, exploits, references and more
    https://www.cvedetails.com/google-search-results.php?q=Jquery+1.12.1&sa=Search

• 比較

• Dependabot vs Snyk | What are the differences?
  https://stackshare.io/stackups/dependabot-vs-snyk

• yamory vs Snyk ~trialしてみた所感~ - Qiita
  https://qiita.com/zurausa/items/bab40f98e6fd92cd9fbe

• ビズリーチのOSS 脆弱性管理サービス yamory 無料トライアル 使ってみた
  他のツールとの比較などのレビュー - Security Index
  https://security-index.hatenablog.com/entry/2019/10/27/210000

     

Site admin: TechInfoOfMicrosoftTech

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.030 sec.