セキュリティ脆弱性対策ツール
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
単語検索
|
最終更新
|
ヘルプ
]
開始行:
「[[.NET 開発基盤部会 Wiki>http://dotnetdevelopmentinfras...
-[[戻る>FrontPage]]
*目次 [#i19b3173]
#contents
*概要 [#n8c9de2f]
昨今、流行りの色々。
*詳細 [#a94c3779]
**脆弱性検査、脆弱性診断 [#i529ad67]
ソフトウェア内部の脆弱性(パッチが未提供のもの)
-OS、ミドル
-Webアプリケーション
***検査の手法 [#x8954de9]
-ホワイト・ボックス
-ブラック・ボックス(通常コチラ)~
以下の様な呼称もある
--セキュリティ・スキャン
--セキュリティ・ホール検査
--侵入検査、ペネストレーション・テスト
--ファジング(予測不可能な入力データを与える)
***検査の手段 [#f9db57cc]
-手動
--ツールでは検出困難な検査が出来る。
-自動(ツール)
--検出能力に限界がある。
--複数の脆弱性を組み合わせた攻撃などは検出できない。
--検査結果の分析とサイトに合った対策などは人手が必要。
***比較 [#ofb8bb42]
|#|>|項目|OS、ミドル|Webアプリケーション|h
|1|>|検査対象|インストールしたソフトの[[脆弱性>SC:脆弱性...
|2|>|検査項目|OS、ミドルの[[脆弱性>SC:脆弱性]]|開発した...
|3|>|実施時期|新規構築時、設定変更時、定期的|ページ / ア...
|4|実施方法|ホワイト・ボックス|設計書レビュー|ソースコー...
|~|~|ブラック・ボックス|人手での侵入・攻撃テスト&br;ツー...
|5|>|対処方法|バージョンアップ、パッチ適用、定期的検査|修...
**Scanner [#cbe991ff]
もはや、根付いた感のある
>「脆弱性検査ツール(Vulnerability Scanner)」
の類。
***Webアプリケーション脆弱性検査ツール [#d678f101]
-AppSpider、AppScan
--IBM App Scan Standard -vs- Rapid7 AppSpider - FireCompa...
https://products.cisoplatform.com/security/comparisons/ap...
-[[OWASP ZAP (Zed Attack Proxy)]]
-[[GitHub Code Scanning (CodeQL)]]
-skipfish
--Googleが開発した動的(能動的)な、Webアプリケーション脆...
--2011年に初回リリースがされており、リポジトリを見る限り...
--参考
---spinkham/skipfish:~
Web application security scanner created by lcamtuf for g...
https://github.com/spinkham/skipfish
---Google Code Archive~
Long-term storage for Google Code Project Hosting.~
https://code.google.com/archive/p/skipfish/
---セキュリティチェックツールskipfish入門|apps-gcp.com~
G Suite(旧:Google Apps) やGoogle Cloud Platform サービ...
http://www.apps-gcp.com/skipfish-introduction/
---「skipfish」でWebアプリの脆弱性をチェックする | さくら...
https://knowledge.sakura.ad.jp/389/
---Skipfishの使い方 – Webアプリのセキュリティ脆弱性スキャ...
http://www.yukun.info/blog/2012/12/skipfish-webapp-securi...
---脆弱性診断ツールskipfishを使ってみて困ったこと | Skyar...
https://www.skyarch.net/blog/?p=3976
-ratproxy
--概要
---Googleが開発した静的(受動的)な、Webアプリケーション...
---2008年に初回リリースがされており、リポジトリを見る限り...
--参考
---Google Code Archive~
Long-term storage for Google Code Project Hosting.~
https://code.google.com/archive/p/ratproxy/
---グーグル、ウェブ脆弱性検知ツール「RatProxy」をリリース...
https://japan.cnet.com/article/20376601/
---Googleが作ったWebセキュリティ・ツール「ratproxy」~
検出できるぜい弱性は42種類,SQLインジェクションは苦手:IT...
http://itpro.nikkeibp.co.jp/article/COLUMN/20080830/313782/
---ratproxyを使ってみたのでメモするでござる - のえら~
http://noterr0001.hateblo.jp/entry/20140417/1397724596
-その他
--Penetrator
--Fortify WebInspect
--VEX -Vulnerability Explorer
--VAddy
***ネットワーク脆弱性検査ツール [#we2c5df2]
-InsightVM
-Penetrator
-SecureScout
-QualysGuard
-Nessus
-Retina Network Security Scanner
-ISS Internet Scanner
-McAfee Vulnerability Manager
**OSS [#ld1f899d]
OSS関連は、昨今、熱い。
***Black Duck [#a49fffbe]
-ブラック・ダックが日本法人設立が~
2009年なので10年かけて盛り上がった感。
-2017年にシノプシスがブラックダックを買収している。
--シノプシスは、組み込み系の開発ツールベンダ~
(正確には、EDA業界におけるビッグ3の1つ)
--シノプシスの技術(Coverity等)も活用
-非常に高性能&高価なソリューションに。
***WhiteSource [#tdfa85b1]
ファイル自体をアップロードしない(ハッシュのみ)
-スニペットレベルのコンタミは検出できない。
-...が、SaaS利用可能で廉価。
***Dependency Monitoring [#rb7ef663]
-特徴
--依存関係管理ファイルに絞ってスキャン。
--基本的には[[Git]]リポジトリをスキャン。
--ツールによって対応している言語に差がある。
--非常に廉価。
-機能
>
+依存関係管理ファイルをスキャン
+[[Git]]リポジトリをスキャン
+脆弱性が発見されたら、Pull Requestを作成。
+コンテナ・レジストリもスキャン可能。
-ツールs
--npm audit
---言語:Node.JS
---機能:1
--[[GitHub Dependabot]]
---言語:[[コチラ>https://help.github.com/ja/github/visua...
---機能:2、3
--Snyk
---言語:[[コチラ>https://support.snyk.io/hc/en-us/sectio...
---機能:2、3、4
--yamory
---言語:[[コチラ>https://yamory.io/docs/index/]]
---機能:2
--[[参考>#k086166d]]
***セグメンテーション [#q2c832e7]
セグメンテーションすると
-松 :
--Black Duck
--自動車会社、大手企業
-竹 :
--WhiteSource
--大手 - 中堅企業
-梅 :
--Dependency Monitoring
--中小企業、Webケー企業
>的。
*参考 [#l832a52e]
**Scanner [#a2bc3522]
-脆弱性検査ツール - Wikipedia~
https://ja.wikipedia.org/wiki/%E8%84%86%E5%BC%B1%E6%80%A7...
-Webアプリケーション脆弱性対策 - マイクロソフト系技術情報...
https://techinfoofmicrosofttech.osscons.jp/index.php?Web%...
**OSS [#ed8d566f]
***Black Duck [#g03edfde]
-OSS (オープンソース) 管理 Black Duck | シノプシス~
https://www.synopsys.com/ja-jp/software-integrity/securit...
-米ブラック・ダックが日本法人設立、~
OSSソフトウェア開発製品を提供 |ビジネス+IT~
https://www.sbbit.jp/article/cont1/19295
-シノプシスがブラックダックを買収、~
活用広がるOSSをよりセキュアで高品質に - MONOist(モノイス...
https://monoist.atmarkit.co.jp/mn/articles/1711/24/news03...
-ブラック・ダック、オープンソースの3リスクを~
可視化する「Black Duck Hub」 | 日経クロステック(xTECH)~
https://xtech.nikkei.com/it/atcl/column/17/101000415/1013...
***WhiteSource [#hd952cbf]
-「OSS管理で圧倒的コストパフォーマンス」、~
白いソースが黒いアヒルに挑む (1/2) - MONOist(モノイスト)~
https://monoist.atmarkit.co.jp/mn/articles/1708/30/news04...
-100万円切るOSS検査サービス「WhiteSource」が上陸、~
GDEPソルが提供 | 日経クロステック(xTECH)~
https://xtech.nikkei.com/it/atcl/news/17/082902153/
***Dependency Monitoring [#k086166d]
-[[GitHub Dependabot]]
-[[npm audit>npmのコマンド#w961e02f]]
-Snyk
--Snyk | Develop Fast. Stay Secure~
https://snyk.io/
--Snyk | TechCrunch Japan~
https://jp.techcrunch.com/tag/snyk/
---オープンソースコードのセキュリティチェックと問題修復を~
開発のワークフローに組み込むSnyk、GitHubとの統合も可能~
https://jp.techcrunch.com/2016/06/24/20160623snyk/
---オープンソースのライブラリのセキュリティチェックと~
脆弱性フィックスを代行するSnykが$7Mを調達~
https://jp.techcrunch.com/2018/03/07/2018-03-06-snyk-snar...
---デベロッパーのセキュリティをサポートするSnykが約165億...
https://jp.techcrunch.com/2020/01/22/2020-01-21-snyk-snag...
--Snyk社、新しいコンテナレジストリとの統合を発表 | DevOps...
https://licensecounter.jp/devops-hub/blog/190814-gdep01/
-yamory
--yamory | すべてのエンジニアにセキュアな開発を。~
https://yamory.io/
--オープンソース脆弱性管理ツール「yamory(ヤモリー)」を...
https://www.bizreach.co.jp/pressroom/pressrelease/2019/08...
-CVE Details
--ソフトウェア毎の脆弱性を調べるには CVE Details が便利 -...
https://qiita.com/watarin/items/67de18a78c67522065e4
--例:CVE security vulnerability database.~
Security vulnerabilities, exploits, references and more~
https://www.cvedetails.com/google-search-results.php?q=Jq...
-比較
--Dependabot vs Snyk | What are the differences?~
https://stackshare.io/stackups/dependabot-vs-snyk
--yamory vs Snyk ~trialしてみた所感~ - Qiita~
https://qiita.com/zurausa/items/bab40f98e6fd92cd9fbe
--ビズリーチのOSS 脆弱性管理サービス yamory 無料トライア...
他のツールとの比較などのレビュー - Security Index~
https://security-index.hatenablog.com/entry/2019/10/27/21...
終了行:
「[[.NET 開発基盤部会 Wiki>http://dotnetdevelopmentinfras...
-[[戻る>FrontPage]]
*目次 [#i19b3173]
#contents
*概要 [#n8c9de2f]
昨今、流行りの色々。
*詳細 [#a94c3779]
**脆弱性検査、脆弱性診断 [#i529ad67]
ソフトウェア内部の脆弱性(パッチが未提供のもの)
-OS、ミドル
-Webアプリケーション
***検査の手法 [#x8954de9]
-ホワイト・ボックス
-ブラック・ボックス(通常コチラ)~
以下の様な呼称もある
--セキュリティ・スキャン
--セキュリティ・ホール検査
--侵入検査、ペネストレーション・テスト
--ファジング(予測不可能な入力データを与える)
***検査の手段 [#f9db57cc]
-手動
--ツールでは検出困難な検査が出来る。
-自動(ツール)
--検出能力に限界がある。
--複数の脆弱性を組み合わせた攻撃などは検出できない。
--検査結果の分析とサイトに合った対策などは人手が必要。
***比較 [#ofb8bb42]
|#|>|項目|OS、ミドル|Webアプリケーション|h
|1|>|検査対象|インストールしたソフトの[[脆弱性>SC:脆弱性...
|2|>|検査項目|OS、ミドルの[[脆弱性>SC:脆弱性]]|開発した...
|3|>|実施時期|新規構築時、設定変更時、定期的|ページ / ア...
|4|実施方法|ホワイト・ボックス|設計書レビュー|ソースコー...
|~|~|ブラック・ボックス|人手での侵入・攻撃テスト&br;ツー...
|5|>|対処方法|バージョンアップ、パッチ適用、定期的検査|修...
**Scanner [#cbe991ff]
もはや、根付いた感のある
>「脆弱性検査ツール(Vulnerability Scanner)」
の類。
***Webアプリケーション脆弱性検査ツール [#d678f101]
-AppSpider、AppScan
--IBM App Scan Standard -vs- Rapid7 AppSpider - FireCompa...
https://products.cisoplatform.com/security/comparisons/ap...
-[[OWASP ZAP (Zed Attack Proxy)]]
-[[GitHub Code Scanning (CodeQL)]]
-skipfish
--Googleが開発した動的(能動的)な、Webアプリケーション脆...
--2011年に初回リリースがされており、リポジトリを見る限り...
--参考
---spinkham/skipfish:~
Web application security scanner created by lcamtuf for g...
https://github.com/spinkham/skipfish
---Google Code Archive~
Long-term storage for Google Code Project Hosting.~
https://code.google.com/archive/p/skipfish/
---セキュリティチェックツールskipfish入門|apps-gcp.com~
G Suite(旧:Google Apps) やGoogle Cloud Platform サービ...
http://www.apps-gcp.com/skipfish-introduction/
---「skipfish」でWebアプリの脆弱性をチェックする | さくら...
https://knowledge.sakura.ad.jp/389/
---Skipfishの使い方 – Webアプリのセキュリティ脆弱性スキャ...
http://www.yukun.info/blog/2012/12/skipfish-webapp-securi...
---脆弱性診断ツールskipfishを使ってみて困ったこと | Skyar...
https://www.skyarch.net/blog/?p=3976
-ratproxy
--概要
---Googleが開発した静的(受動的)な、Webアプリケーション...
---2008年に初回リリースがされており、リポジトリを見る限り...
--参考
---Google Code Archive~
Long-term storage for Google Code Project Hosting.~
https://code.google.com/archive/p/ratproxy/
---グーグル、ウェブ脆弱性検知ツール「RatProxy」をリリース...
https://japan.cnet.com/article/20376601/
---Googleが作ったWebセキュリティ・ツール「ratproxy」~
検出できるぜい弱性は42種類,SQLインジェクションは苦手:IT...
http://itpro.nikkeibp.co.jp/article/COLUMN/20080830/313782/
---ratproxyを使ってみたのでメモするでござる - のえら~
http://noterr0001.hateblo.jp/entry/20140417/1397724596
-その他
--Penetrator
--Fortify WebInspect
--VEX -Vulnerability Explorer
--VAddy
***ネットワーク脆弱性検査ツール [#we2c5df2]
-InsightVM
-Penetrator
-SecureScout
-QualysGuard
-Nessus
-Retina Network Security Scanner
-ISS Internet Scanner
-McAfee Vulnerability Manager
**OSS [#ld1f899d]
OSS関連は、昨今、熱い。
***Black Duck [#a49fffbe]
-ブラック・ダックが日本法人設立が~
2009年なので10年かけて盛り上がった感。
-2017年にシノプシスがブラックダックを買収している。
--シノプシスは、組み込み系の開発ツールベンダ~
(正確には、EDA業界におけるビッグ3の1つ)
--シノプシスの技術(Coverity等)も活用
-非常に高性能&高価なソリューションに。
***WhiteSource [#tdfa85b1]
ファイル自体をアップロードしない(ハッシュのみ)
-スニペットレベルのコンタミは検出できない。
-...が、SaaS利用可能で廉価。
***Dependency Monitoring [#rb7ef663]
-特徴
--依存関係管理ファイルに絞ってスキャン。
--基本的には[[Git]]リポジトリをスキャン。
--ツールによって対応している言語に差がある。
--非常に廉価。
-機能
>
+依存関係管理ファイルをスキャン
+[[Git]]リポジトリをスキャン
+脆弱性が発見されたら、Pull Requestを作成。
+コンテナ・レジストリもスキャン可能。
-ツールs
--npm audit
---言語:Node.JS
---機能:1
--[[GitHub Dependabot]]
---言語:[[コチラ>https://help.github.com/ja/github/visua...
---機能:2、3
--Snyk
---言語:[[コチラ>https://support.snyk.io/hc/en-us/sectio...
---機能:2、3、4
--yamory
---言語:[[コチラ>https://yamory.io/docs/index/]]
---機能:2
--[[参考>#k086166d]]
***セグメンテーション [#q2c832e7]
セグメンテーションすると
-松 :
--Black Duck
--自動車会社、大手企業
-竹 :
--WhiteSource
--大手 - 中堅企業
-梅 :
--Dependency Monitoring
--中小企業、Webケー企業
>的。
*参考 [#l832a52e]
**Scanner [#a2bc3522]
-脆弱性検査ツール - Wikipedia~
https://ja.wikipedia.org/wiki/%E8%84%86%E5%BC%B1%E6%80%A7...
-Webアプリケーション脆弱性対策 - マイクロソフト系技術情報...
https://techinfoofmicrosofttech.osscons.jp/index.php?Web%...
**OSS [#ed8d566f]
***Black Duck [#g03edfde]
-OSS (オープンソース) 管理 Black Duck | シノプシス~
https://www.synopsys.com/ja-jp/software-integrity/securit...
-米ブラック・ダックが日本法人設立、~
OSSソフトウェア開発製品を提供 |ビジネス+IT~
https://www.sbbit.jp/article/cont1/19295
-シノプシスがブラックダックを買収、~
活用広がるOSSをよりセキュアで高品質に - MONOist(モノイス...
https://monoist.atmarkit.co.jp/mn/articles/1711/24/news03...
-ブラック・ダック、オープンソースの3リスクを~
可視化する「Black Duck Hub」 | 日経クロステック(xTECH)~
https://xtech.nikkei.com/it/atcl/column/17/101000415/1013...
***WhiteSource [#hd952cbf]
-「OSS管理で圧倒的コストパフォーマンス」、~
白いソースが黒いアヒルに挑む (1/2) - MONOist(モノイスト)~
https://monoist.atmarkit.co.jp/mn/articles/1708/30/news04...
-100万円切るOSS検査サービス「WhiteSource」が上陸、~
GDEPソルが提供 | 日経クロステック(xTECH)~
https://xtech.nikkei.com/it/atcl/news/17/082902153/
***Dependency Monitoring [#k086166d]
-[[GitHub Dependabot]]
-[[npm audit>npmのコマンド#w961e02f]]
-Snyk
--Snyk | Develop Fast. Stay Secure~
https://snyk.io/
--Snyk | TechCrunch Japan~
https://jp.techcrunch.com/tag/snyk/
---オープンソースコードのセキュリティチェックと問題修復を~
開発のワークフローに組み込むSnyk、GitHubとの統合も可能~
https://jp.techcrunch.com/2016/06/24/20160623snyk/
---オープンソースのライブラリのセキュリティチェックと~
脆弱性フィックスを代行するSnykが$7Mを調達~
https://jp.techcrunch.com/2018/03/07/2018-03-06-snyk-snar...
---デベロッパーのセキュリティをサポートするSnykが約165億...
https://jp.techcrunch.com/2020/01/22/2020-01-21-snyk-snag...
--Snyk社、新しいコンテナレジストリとの統合を発表 | DevOps...
https://licensecounter.jp/devops-hub/blog/190814-gdep01/
-yamory
--yamory | すべてのエンジニアにセキュアな開発を。~
https://yamory.io/
--オープンソース脆弱性管理ツール「yamory(ヤモリー)」を...
https://www.bizreach.co.jp/pressroom/pressrelease/2019/08...
-CVE Details
--ソフトウェア毎の脆弱性を調べるには CVE Details が便利 -...
https://qiita.com/watarin/items/67de18a78c67522065e4
--例:CVE security vulnerability database.~
Security vulnerabilities, exploits, references and more~
https://www.cvedetails.com/google-search-results.php?q=Jq...
-比較
--Dependabot vs Snyk | What are the differences?~
https://stackshare.io/stackups/dependabot-vs-snyk
--yamory vs Snyk ~trialしてみた所感~ - Qiita~
https://qiita.com/zurausa/items/bab40f98e6fd92cd9fbe
--ビズリーチのOSS 脆弱性管理サービス yamory 無料トライア...
他のツールとの比較などのレビュー - Security Index~
https://security-index.hatenablog.com/entry/2019/10/27/21...
ページ名:
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
