Vulsのgo-cve-dictionaryを有効活用 - Qiita
VulsはOSSの脆弱性スキャンツールで、サーバ内のパッケージ情報等をチェックして、公開されている脆弱性情報に該当するものがないかを調べてくれるツールです。 このVulsの仕組みの中で、go-cve-dictionaryというのがあります。 これは、脆弱性情報の公開データをDBに取り込み管理するためのツールとなっています。 NVD、JVNのサイト上で公開されている情報をクローリングしてVulsで活用できる状態でDBに保存します。 このgo-cve-dictionaryを使ってみたので記録を残しておきます。 go-cve-dictionaryのインストール 基本的にはこちらに記載の通りでOK。 https://github.com/kotakanbe/go-cve-dictionary 今回は簡易にSQLite3をDBとして利用しました。 CentOS上に以下の通り実施。(goの環境は既にあ
脆弱性検知ツールVulsの、きちんと動く構築手順
脆弱性検知ツールであるVuls OSS版の最新の構築手順をまとめたものです。 他のサイトでも類似の情報は見つかりますが、 IPA(情報処理推進機構)の資料が古く最新版の挙動を反映していない ググって見つかる情報も古く、そのままだと動かない が現状だったので、個人的に調べて手順書の形で、まとめてみました。 内容的には個人的メモですが、構築手順として使えると思います(※使えなくてもそっと見守ってください)。 内容は、概要、インストール手順、基本的な使い方、使用してみての感想、です。 正直、ツールでの検知・管理は限界がある気がしますが、一応は調べたので記しておきます。 なぜ脆弱性検知ツール? 社内にサーバーが複数(というかたくさん)あると、どのサーバーの何のソフトウェアにどんな脆弱性があるのか、手動で管理するのは大変なので、ツールで自動化できたら運用負荷が軽減できそうです。 最初、NVD[1]や
Vulsのコードを読む その2 go-cve-dictionary を理解する、バグを見つけてプルリクを出してマージされるまで - Security Index
前回、Vulsのコードを読む その1 全体像の把握でざっくりとscanコマンド周りのそーうコードと実行時の流れの理解を行いました。 今回は、Vulsの中で利用されている go-cve-dictionary についてソースコードを読んで、理解をしていきたいと思います。 また、今回はソースコードを確認していく中でバグを発見しプルリクを出してみましたのでプルリクの投げ方についても簡単に解説していきたいと思います。 (追記 2019/11/23) 無事プルリクがマージされました! go-cve-dictionaryの特徴 ソースコード main.go commands/ commands/fetchnvd.go 1. データベース接続 2. meta情報の取得 3. meta情報より更新が必要かどうか判断 (過去のmeta情報と比較) 4. NVDの脆弱性情報の収集、変換 5. 脆弱性情報をデータ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
