セキュリティ脆弱性対策ツール の変更点

https://dotnetdevelopmentinfrastructure.osscons.jp:443/index.php?%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E8%84%86%E5%BC%B1%E6%80%A7%E5%AF%BE%E7%AD%96%E3%83%84%E3%83%BC%E3%83%AB

[ トップ ]   [ 編集 | 差分 | バックアップ | 添付 | リロード ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• 追加された行はこの色です。
• 削除された行はこの色です。
• セキュリティ脆弱性対策ツール へ行く。
• セキュリティ脆弱性対策ツール の差分を削除

---

「[[.NET 開発基盤部会 Wiki>http://dotnetdevelopmentinfrastructure.osscons.jp]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。

-[[戻る>FrontPage]]

*目次 [#i19b3173]
#contents

*概要 [#n8c9de2f]
昨今、流行りの色々。

*詳細 [#a94c3779]

**脆弱性検査、脆弱性診断 [#i529ad67]
ソフトウェア内部の脆弱性（パッチが未提供のもの）
-OS、ミドル
-Webアプリケーション

***検査の手法 [#x8954de9]
-ホワイト・ボックス
-ブラック・ボックス（通常コチラ）~
以下の様な呼称もある
--セキュリティ・スキャン
--セキュリティ・ホール検査
--侵入検査、ペネストレーション・テスト
--ファジング（予測不可能な入力データを与える）

***検査の手段 [#f9db57cc]

-手動
--ツールでは検出困難な検査が出来る。

-自動（ツール）
--検出能力に限界がある。
--複数の脆弱性を組み合わせた攻撃などは検出できない。
--検査結果の分析とサイトに合った対策などは人手が必要。

***比較 [#ofb8bb42]
|#|>|項目|OS、ミドル|Webアプリケーション|h
|1|>|検査対象|インストールしたソフトの[[脆弱性>SC：脆弱性]]&br;サーバ設定の[[脆弱性>SC：脆弱性]]|開発したアプリケーションのソースコードの[[脆弱性>SC：脆弱性]]|
|2|>|検査項目|OS、ミドルの[[脆弱性>SC：脆弱性]]|開発したアプリケーションの[[脆弱性>SC：脆弱性]]|
|3|>|実施時期|新規構築時、設定変更時、定期的|ページ / アプリケーション の 追加時 / 稼働前|
|4|実施方法|ホワイト・ボックス|設計書レビュー|ソースコード・レビュー|
|~|~|ブラック・ボックス|人手での侵入・攻撃テスト&br;ツールによるスキャン、結果分析|人手での各種インジェクション・テスト&br;ツールによるスキャン、結果分析|
|5|>|対処方法|バージョンアップ、パッチ適用、定期的検査|修正、類似見直し、再発防止|

**Scanner [#cbe991ff]
もはや、根付いた感のある

>「脆弱性検査ツール（Vulnerability Scanner）」

の類。

***Webアプリケーション脆弱性検査ツール [#d678f101]

-AppSpider、AppScan
--IBM App Scan Standard -vs- Rapid7 AppSpider - FireCompass~
https://products.cisoplatform.com/security/comparisons/application-security-testing-ast/ibm-app-scan-standard-vs-rapid7-appspider

-[[OWASP ZAP (Zed Attack Proxy)]]
-[[GitHub Code Scanning (CodeQL)]]

-skipfish
--Googleが開発した動的（能動的）な、Webアプリケーション脆弱性診断ツール。
--2011年に初回リリースがされており、リポジトリを見る限り、開発は停止している。
--参考
---spinkham/skipfish:~
Web application security scanner created by lcamtuf for google - Unofficial Mirror~
https://github.com/spinkham/skipfish
---Google Code Archive~
Long-term storage for Google Code Project Hosting.~
https://code.google.com/archive/p/skipfish/
---セキュリティチェックツールskipfish入門｜apps-gcp.com~
G Suite（旧：Google Apps） やGoogle Cloud Platform サービスについて紹介します~
http://www.apps-gcp.com/skipfish-introduction/
---「skipfish」でWebアプリの脆弱性をチェックする | さくらのナレッジ~
https://knowledge.sakura.ad.jp/389/
---Skipfishの使い方 – Webアプリのセキュリティ脆弱性スキャナ~
http://www.yukun.info/blog/2012/12/skipfish-webapp-security-scanner.html
---脆弱性診断ツールskipfishを使ってみて困ったこと | Skyarch Broadcasting~
https://www.skyarch.net/blog/?p=3976

-ratproxy
--概要
---Googleが開発した静的（受動的）な、Webアプリケーション脆弱性診断ツール。
---2008年に初回リリースがされており、リポジトリを見る限り、開発は停止している。
--参考
---Google Code Archive~
Long-term storage for Google Code Project Hosting.~
https://code.google.com/archive/p/ratproxy/
---グーグル、ウェブ脆弱性検知ツール「RatProxy」をリリース - CNET Japan~
https://japan.cnet.com/article/20376601/
---Googleが作ったWebセキュリティ・ツール「ratproxy」~
検出できるぜい弱性は42種類，SQLインジェクションは苦手：ITpro~
http://itpro.nikkeibp.co.jp/article/COLUMN/20080830/313782/
---ratproxyを使ってみたのでメモするでござる - のえら~
http://noterr0001.hateblo.jp/entry/20140417/1397724596

-その他
--Penetrator
--Fortify WebInspect
--VEX -Vulnerability Explorer
--VAddy

***ネットワーク脆弱性検査ツール [#we2c5df2]
-InsightVM
-Penetrator
-SecureScout
-QualysGuard
-Nessus
-Retina Network Security Scanner
-ISS Internet Scanner
-McAfee Vulnerability Manager

**OSS [#ld1f899d]
OSS関連は、昨今、熱い。

***Black Duck [#a49fffbe]
-ブラック・ダックが日本法人設立が~
2009年なので10年かけて盛り上がった感。

-2017年にシノプシスがブラックダックを買収している。

--シノプシスは、組み込み系の開発ツールベンダ~
（正確には、EDA業界におけるビッグ3の1つ）

--シノプシスの技術（Coverity等）も活用

-非常に高性能＆高価なソリューションに。

***WhiteSource [#tdfa85b1]
ファイル自体をアップロードしない（ハッシュのみ）
-スニペットレベルのコンタミは検出できない。
-...が、SaaS利用可能で廉価。

***Dependency Monitoring [#rb7ef663]
-特徴
--依存関係管理ファイルに絞ってスキャン。
--基本的には[[Git]]リポジトリをスキャン。
--ツールによって対応している言語に差がある。
--非常に廉価。

-機能
>
+依存関係管理ファイルをスキャン
+[[Git]]リポジトリをスキャン
+脆弱性が発見されたら、Pull Requestを作成。
+コンテナ・レジストリもスキャン可能。

-ツールｓ

--npm audit
---言語：Node.JS
---機能：１

--[[GitHub Dependabot]]
---言語：[[コチラ>https://help.github.com/ja/github/visualizing-repository-data-with-graphs/listing-the-packages-that-a-repository-depends-on]]
---機能：２、３

--Snyk
---言語：[[コチラ>https://support.snyk.io/hc/en-us/sections/360001087857-Language-package-manager-support]]
---機能：２、３、４

--yamory
---言語：[[コチラ>https://yamory.io/docs/index/]]
---機能：２

--[[参考>#k086166d]]

***セグメンテーション [#q2c832e7]
セグメンテーションすると

-松 :
--Black Duck
--自動車会社、大手企業

-竹 :
--WhiteSource
--大手 - 中堅企業

-梅 :
--Dependency Monitoring
--中小企業、Webケー企業

>的。

*参考 [#l832a52e]

**Scanner [#a2bc3522]
-脆弱性検査ツール - Wikipedia~
https://ja.wikipedia.org/wiki/%E8%84%86%E5%BC%B1%E6%80%A7%E6%A4%9C%E6%9F%BB%E3%83%84%E3%83%BC%E3%83%AB

-Webアプリケーション脆弱性対策 - マイクロソフト系技術情報 Wiki~
https://techinfoofmicrosofttech.osscons.jp/index.php?Web%E3%82%A2%E3%83%97%E3%83%AA%E3%82%B1%E3%83%BC%E3%82%B7%E3%83%A7%E3%83%B3%E8%84%86%E5%BC%B1%E6%80%A7%E5%AF%BE%E7%AD%96

**OSS [#ed8d566f]

***Black Duck [#g03edfde]
-OSS (オープンソース) 管理 Black Duck | シノプシス~
https://www.synopsys.com/ja-jp/software-integrity/security-testing/software-composition-analysis.html

-米ブラック・ダックが日本法人設立、~
OSSソフトウェア開発製品を提供 ｜ビジネス+IT~
https://www.sbbit.jp/article/cont1/19295

-シノプシスがブラックダックを買収、~
活用広がるOSSをよりセキュアで高品質に - MONOist（モノイスト）~
https://monoist.atmarkit.co.jp/mn/articles/1711/24/news038.html

-ブラック・ダック、オープンソースの3リスクを~
可視化する「Black Duck Hub」 | 日経クロステック（xTECH）~
https://xtech.nikkei.com/it/atcl/column/17/101000415/101300102/

***WhiteSource [#hd952cbf]
-「OSS管理で圧倒的コストパフォーマンス」、~
白いソースが黒いアヒルに挑む (1/2) - MONOist（モノイスト）~
https://monoist.atmarkit.co.jp/mn/articles/1708/30/news042.html

-100万円切るOSS検査サービス「WhiteSource」が上陸、~
GDEPソルが提供 | 日経クロステック（xTECH）~
https://xtech.nikkei.com/it/atcl/news/17/082902153/

***Dependency Monitoring [#k086166d]
-[[GitHub(Dependabot)>Github - Security関連]]
-[[GitHub Dependabot]]

-[[npm audit>npmのコマンド#w961e02f]]

-Snyk
--Snyk | Develop Fast. Stay Secure~
https://snyk.io/

--Snyk | TechCrunch Japan~
https://jp.techcrunch.com/tag/snyk/

---オープンソースコードのセキュリティチェックと問題修復を~
開発のワークフローに組み込むSnyk、GitHubとの統合も可能~
https://jp.techcrunch.com/2016/06/24/20160623snyk/

---オープンソースのライブラリのセキュリティチェックと~
脆弱性フィックスを代行するSnykが$7Mを調達~
https://jp.techcrunch.com/2018/03/07/2018-03-06-snyk-snares-7-million-series-a-to-help-developers-deliver-open-source-components-securely/

---デベロッパーのセキュリティをサポートするSnykが約165億円調達~
https://jp.techcrunch.com/2020/01/22/2020-01-21-snyk-snags-150m-investment-as-its-valuation-surpasses-1b/

--Snyk社、新しいコンテナレジストリとの統合を発表 | DevOps Hub | SB C&S~
https://licensecounter.jp/devops-hub/blog/190814-gdep01/

-yamory
--yamory | すべてのエンジニアにセキュアな開発を。~
https://yamory.io/
--オープンソース脆弱性管理ツール「yamory（ヤモリー）」をリリース~
https://www.bizreach.co.jp/pressroom/pressrelease/2019/0827.html

-CVE Details
--ソフトウェア毎の脆弱性を調べるには CVE Details が便利 - Qiita~
https://qiita.com/watarin/items/67de18a78c67522065e4
--例：CVE security vulnerability database.~
Security vulnerabilities, exploits, references and more~
https://www.cvedetails.com/google-search-results.php?q=Jquery+1.12.1&sa=Search

-比較

--Dependabot vs Snyk | What are the differences?~
https://stackshare.io/stackups/dependabot-vs-snyk

--yamory vs Snyk ~trialしてみた所感~ - Qiita~
https://qiita.com/zurausa/items/bab40f98e6fd92cd9fbe

--ビズリーチのOSS 脆弱性管理サービス yamory 無料トライアル 使ってみた~
他のツールとの比較などのレビュー - Security Index~
https://security-index.hatenablog.com/entry/2019/10/27/210000

       

Site admin: TechInfoOfMicrosoftTech

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.002 sec.