「[[.NET 開発基盤部会 Wiki>http://dotnetdevelopmentinfrastructure.osscons.jp]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -[[戻る>FrontPage]] *目次 [#i19b3173] #contents *概要 [#n8c9de2f] 昨今、流行りの色々。 *詳細 [#a94c3779] **脆弱性検査、脆弱性診断 [#i529ad67] ソフトウェア内部の脆弱性(パッチが未提供のもの) -OS、ミドル -Webアプリケーション ***検査の手法 [#x8954de9] -ホワイト・ボックス -ブラック・ボックス(通常コチラ)~ 以下の様な呼称もある --セキュリティ・スキャン --セキュリティ・ホール検査 --侵入検査、ペネストレーション・テスト --ファジング(予測不可能な入力データを与える) ***検査の手段 [#f9db57cc] -手動 --ツールでは検出困難な検査が出来る。 -自動(ツール) --検出能力に限界がある。 --複数の脆弱性を組み合わせた攻撃などは検出できない。 --検査結果の分析とサイトに合った対策などは人手が必要。 ***比較 [#ofb8bb42] |#|>|項目|OS、ミドル|Webアプリケーション|h |1|>|検査対象|インストールしたソフトの[[脆弱性>SC:脆弱性]]&br;サーバ設定の[[脆弱性>SC:脆弱性]]|開発したアプリケーションのソースコードの[[脆弱性>SC:脆弱性]]| |2|>|検査項目|OS、ミドルの[[脆弱性>SC:脆弱性]]|開発したアプリケーションの[[脆弱性>SC:脆弱性]]| |3|>|実施時期|新規構築時、設定変更時、定期的|ページ / アプリケーション の 追加時 / 稼働前| |4|実施方法|ホワイト・ボックス|設計書レビュー|ソースコード・レビュー| |~|~|ブラック・ボックス|人手での侵入・攻撃テスト&br;ツールによるスキャン、結果分析|人手での各種インジェクション・テスト&br;ツールによるスキャン、結果分析| |5|>|対処方法|バージョンアップ、パッチ適用、定期的検査|修正、類似見直し、再発防止| **Scanner [#cbe991ff] もはや、根付いた感のある >「脆弱性検査ツール(Vulnerability Scanner)」 の類。 ***Webアプリケーション脆弱性検査ツール [#d678f101] -AppSpider、AppScan --IBM App Scan Standard -vs- Rapid7 AppSpider - FireCompass~ https://products.cisoplatform.com/security/comparisons/application-security-testing-ast/ibm-app-scan-standard-vs-rapid7-appspider -[[OWASP ZAP (Zed Attack Proxy)]] -[[GitHub Code Scanning (CodeQL)]] -skipfish --Googleが開発した動的(能動的)な、Webアプリケーション脆弱性診断ツール。 --2011年に初回リリースがされており、リポジトリを見る限り、開発は停止している。 --参考 ---spinkham/skipfish:~ Web application security scanner created by lcamtuf for google - Unofficial Mirror~ https://github.com/spinkham/skipfish ---Google Code Archive~ Long-term storage for Google Code Project Hosting.~ https://code.google.com/archive/p/skipfish/ ---セキュリティチェックツールskipfish入門|apps-gcp.com~ G Suite(旧:Google Apps) やGoogle Cloud Platform サービスについて紹介します~ http://www.apps-gcp.com/skipfish-introduction/ ---「skipfish」でWebアプリの脆弱性をチェックする | さくらのナレッジ~ https://knowledge.sakura.ad.jp/389/ ---Skipfishの使い方 – Webアプリのセキュリティ脆弱性スキャナ~ http://www.yukun.info/blog/2012/12/skipfish-webapp-security-scanner.html ---脆弱性診断ツールskipfishを使ってみて困ったこと | Skyarch Broadcasting~ https://www.skyarch.net/blog/?p=3976 -ratproxy --概要 ---Googleが開発した静的(受動的)な、Webアプリケーション脆弱性診断ツール。 ---2008年に初回リリースがされており、リポジトリを見る限り、開発は停止している。 --参考 ---Google Code Archive~ Long-term storage for Google Code Project Hosting.~ https://code.google.com/archive/p/ratproxy/ ---グーグル、ウェブ脆弱性検知ツール「RatProxy」をリリース - CNET Japan~ https://japan.cnet.com/article/20376601/ ---Googleが作ったWebセキュリティ・ツール「ratproxy」~ 検出できるぜい弱性は42種類,SQLインジェクションは苦手:ITpro~ http://itpro.nikkeibp.co.jp/article/COLUMN/20080830/313782/ ---ratproxyを使ってみたのでメモするでござる - のえら~ http://noterr0001.hateblo.jp/entry/20140417/1397724596 -その他 --Penetrator --Fortify WebInspect --VEX -Vulnerability Explorer --VAddy ***ネットワーク脆弱性検査ツール [#we2c5df2] -InsightVM -Penetrator -SecureScout -QualysGuard -Nessus -Retina Network Security Scanner -ISS Internet Scanner -McAfee Vulnerability Manager **OSS [#ld1f899d] OSS関連は、昨今、熱い。 ***Black Duck [#a49fffbe] -ブラック・ダックが日本法人設立が~ 2009年なので10年かけて盛り上がった感。 -2017年にシノプシスがブラックダックを買収している。 --シノプシスは、組み込み系の開発ツールベンダ~ (正確には、EDA業界におけるビッグ3の1つ) --シノプシスの技術(Coverity等)も活用 -非常に高性能&高価なソリューションに。 ***WhiteSource [#tdfa85b1] ファイル自体をアップロードしない(ハッシュのみ) -スニペットレベルのコンタミは検出できない。 -...が、SaaS利用可能で廉価。 ***Dependency Monitoring [#rb7ef663] -特徴 --依存関係管理ファイルに絞ってスキャン。 --基本的には[[Git]]リポジトリをスキャン。 --ツールによって対応している言語に差がある。 --非常に廉価。 -機能 > +依存関係管理ファイルをスキャン +[[Git]]リポジトリをスキャン +脆弱性が発見されたら、Pull Requestを作成。 +コンテナ・レジストリもスキャン可能。 -ツールs --npm audit ---言語:Node.JS ---機能:1 --[[GitHub Dependabot]] ---言語:[[コチラ>https://help.github.com/ja/github/visualizing-repository-data-with-graphs/listing-the-packages-that-a-repository-depends-on]] ---機能:2、3 --Snyk ---言語:[[コチラ>https://support.snyk.io/hc/en-us/sections/360001087857-Language-package-manager-support]] ---機能:2、3、4 --yamory ---言語:[[コチラ>https://yamory.io/docs/index/]] ---機能:2 --[[参考>#k086166d]] ***セグメンテーション [#q2c832e7] セグメンテーションすると -松 : --Black Duck --自動車会社、大手企業 -竹 : --WhiteSource --大手 - 中堅企業 -梅 : --Dependency Monitoring --中小企業、Webケー企業 >的。 *参考 [#l832a52e] **Scanner [#a2bc3522] -脆弱性検査ツール - Wikipedia~ https://ja.wikipedia.org/wiki/%E8%84%86%E5%BC%B1%E6%80%A7%E6%A4%9C%E6%9F%BB%E3%83%84%E3%83%BC%E3%83%AB -Webアプリケーション脆弱性対策 - マイクロソフト系技術情報 Wiki~ https://techinfoofmicrosofttech.osscons.jp/index.php?Web%E3%82%A2%E3%83%97%E3%83%AA%E3%82%B1%E3%83%BC%E3%82%B7%E3%83%A7%E3%83%B3%E8%84%86%E5%BC%B1%E6%80%A7%E5%AF%BE%E7%AD%96 **OSS [#ed8d566f] ***Black Duck [#g03edfde] -OSS (オープンソース) 管理 Black Duck | シノプシス~ https://www.synopsys.com/ja-jp/software-integrity/security-testing/software-composition-analysis.html -米ブラック・ダックが日本法人設立、~ OSSソフトウェア開発製品を提供 |ビジネス+IT~ https://www.sbbit.jp/article/cont1/19295 -シノプシスがブラックダックを買収、~ 活用広がるOSSをよりセキュアで高品質に - MONOist(モノイスト)~ https://monoist.atmarkit.co.jp/mn/articles/1711/24/news038.html -ブラック・ダック、オープンソースの3リスクを~ 可視化する「Black Duck Hub」 | 日経クロステック(xTECH)~ https://xtech.nikkei.com/it/atcl/column/17/101000415/101300102/ ***WhiteSource [#hd952cbf] -「OSS管理で圧倒的コストパフォーマンス」、~ 白いソースが黒いアヒルに挑む (1/2) - MONOist(モノイスト)~ https://monoist.atmarkit.co.jp/mn/articles/1708/30/news042.html -100万円切るOSS検査サービス「WhiteSource」が上陸、~ GDEPソルが提供 | 日経クロステック(xTECH)~ https://xtech.nikkei.com/it/atcl/news/17/082902153/ ***Dependency Monitoring [#k086166d] -[[GitHub(Dependabot)>Github - Security関連]] -[[GitHub Dependabot]] -[[npm audit>npmのコマンド#w961e02f]] -Snyk --Snyk | Develop Fast. Stay Secure~ https://snyk.io/ --Snyk | TechCrunch Japan~ https://jp.techcrunch.com/tag/snyk/ ---オープンソースコードのセキュリティチェックと問題修復を~ 開発のワークフローに組み込むSnyk、GitHubとの統合も可能~ https://jp.techcrunch.com/2016/06/24/20160623snyk/ ---オープンソースのライブラリのセキュリティチェックと~ 脆弱性フィックスを代行するSnykが$7Mを調達~ https://jp.techcrunch.com/2018/03/07/2018-03-06-snyk-snares-7-million-series-a-to-help-developers-deliver-open-source-components-securely/ ---デベロッパーのセキュリティをサポートするSnykが約165億円調達~ https://jp.techcrunch.com/2020/01/22/2020-01-21-snyk-snags-150m-investment-as-its-valuation-surpasses-1b/ --Snyk社、新しいコンテナレジストリとの統合を発表 | DevOps Hub | SB C&S~ https://licensecounter.jp/devops-hub/blog/190814-gdep01/ -yamory --yamory | すべてのエンジニアにセキュアな開発を。~ https://yamory.io/ --オープンソース脆弱性管理ツール「yamory(ヤモリー)」をリリース~ https://www.bizreach.co.jp/pressroom/pressrelease/2019/0827.html -CVE Details --ソフトウェア毎の脆弱性を調べるには CVE Details が便利 - Qiita~ https://qiita.com/watarin/items/67de18a78c67522065e4 --例:CVE security vulnerability database.~ Security vulnerabilities, exploits, references and more~ https://www.cvedetails.com/google-search-results.php?q=Jquery+1.12.1&sa=Search -比較 --Dependabot vs Snyk | What are the differences?~ https://stackshare.io/stackups/dependabot-vs-snyk --yamory vs Snyk ~trialしてみた所感~ - Qiita~ https://qiita.com/zurausa/items/bab40f98e6fd92cd9fbe --ビズリーチのOSS 脆弱性管理サービス yamory 無料トライアル 使ってみた~ 他のツールとの比較などのレビュー - Security Index~ https://security-index.hatenablog.com/entry/2019/10/27/210000