cfn-policy-validator を使ってCLIで「外部アクセス許可の検証」をしてみた | DevelopersIO
いわさです。 IAM Access Analyzerを使うとリソースの意図しないパブリックアクセス、クロスアカウントアクセスの原因となるリソースポリシーの検出が可能です。 以前、チバユキさんがブログを書かれていました。 上記ではマネジメントコンソール上で確認をされています。 チバユキさんもブログの中で、CLIから検出を実施する場合はCreateAccessPreviewを使う必要があるよう言及されています。 そして、APIをラップしたcfn-policy-validatorなるツールが登場したそうなので手軽に検出出来るようになったようです。 本日は試してみました。 インストール Python製のツールで、pipよりすぐセットアップして使えるようになります。 iwasa.takahito@hoge ~ % pip install cfn-policy-validator Collecting
コンテナセキュリティを始めるための無料ツール5つとドキュメント3つの紹介 | DevelopersIO
コンテナセキュリティについてなんとなく不安を感じている方に向けた、ドキュメントと無料ツールの紹介です! 「コンテナセキュリティってなんか必要そうやねんけど、実際なにすんの?」 先日、我らがDevelopers.IO Cafeにおいて、クリエーションライン株式会社 (CREATIONLINE, INC.)様と共催で、以下のイベントを開催しました。 あなたのコンテナ運用大丈夫?コンテナセキュリティの考え方と対応策 - connpass 全部で3セッションで構成されているのですが、私の方では、「コンテナセキュリティ関連OSSの紹介」と題して、コンテナセキュリティこれから検討始めようという方に向けて、そのとっかかりに有用なドキュメントと無料ツールを紹介させていただきました。 ドキュメントもツールもどれも有用なものなので、コンテナセキュリティについて不安や必要性を感じている人は、これらの中から実際に
デプロイ前のコンプライアンスチェック!CloudFormation Guardを試してみた | DevelopersIO
CloudFormation テンプレート(以下、CFn テンプレート)が、ポリシーガイドラインに準拠しているか確認できるコマンドラインツールとして、CloudFormation Guard(以下、CFn Guard)が公開されました。 CFn Guard は、2020 年 10 月 1 日から一般提供されています。 これまで、Security Hub のセキュリティ標準や Config 適合パックを用いて、AWS 環境がコンプライアンスに準拠しているか調べられます。 CFn Guard では、CFn テンプレートが定義したルールを満たしているかをチェックでき、デプロイする前にコンプライアンスに準拠しているかチェックできます。 デプロイ前に CFn Guard でチェックすることによって、より安全なデプロイを実現できます。 やってみた 実際に使いながら何をできるか確認していきます。まずは
巷でナウな脆弱性スキャンツールVulsを試してみた!|【技業LOG】技術者が紹介するNTTPCのテクノロジー|【公式】NTTPC
Vuls(VULnerability Scanner)は国産のOSS(オープンソースソフトウェア)でシステムに関係ある脆弱性を含むパッケージ一覧を自動で取得できるアプリケーションです。 Vulsの詳細やインストール手順については開発元情報(最下段にリンクあり)をご覧いただくこととして、本技術ブログでは主に弊社のVulsでの取り組みについてご紹介させていただきますが、前置きとしてまずは簡単にVulsについてご説明させていただきます。 システム構成を簡潔に図示すると下記(図1)のようになります。 初期設定を行えば、一連の動作により脆弱性ホストの検出まで自動実行出来ます。 担当者で手分けして大量のホストを調査する手間が無くなり、また、検出結果についてはWebインターフェース(VulsRepo)でグラフィカルに可視化出来ますので脆弱性を含むホストの見落とし等のミスやリスクも低減出来ます。
【2024年版】おすすめのセキュリティ診断ツール20選を徹底比較! - 起業LOG SaaS
今やビジネスを行う中で欠かせないインターネットですが、使用するアプリケーションやシステムに対するサイバー攻撃が後を絶ちません。 そんな状況から、より自社のセキュリティ体制を整えたいとお考えの方もいらっしゃるのではないでしょうか。 そこで今回はセキュリティ診断ツールをご紹介します。 数多くあるセキュリティ診断ツールの中からおすすめの19選をご紹介しますので、ぜひ最後までご覧ください。 セキュリティ診断・脆弱性診断とは セキュリティ診断・脆弱性診断とは、サイバー攻撃を受けやすいアプリケーションやネットワーク等のシステムを調査し、攻撃対象となる箇所を検出したり、情報漏洩等のリスクを回避したりするために行うものです。 おすすめのセキュリティ診断ツール5選 無制限にスキャンできる!『Burp Suite』 画像出典元:「Burp Suite」公式HP 特徴 シンプルな使い勝手で、あらゆる組織で使用で
Webアプリケーション向けの自動セキュリティスキャナ「Skipfish」を試してみました
こんにちは、中川です。 先日、GoogleからWebアプリケーション向けの自動セキュリティスキャナ「Skipfish」が公開されたので、社内で利用しているCakePHPのアプリで試してみました。 Skipfish( http://code.google.com/p/skipfish/ )は、Webアプリケーションの脆弱性、SQLインジェクションやクロスサイトスクリプティング等を自動的に検出してくれるApache License 2.0のライセンスで公開されているオープンソースのツールです。 必要なライブラリは以下とのこと。 * GNU C Compiler * GNU Make * GNU C Library (including development headers) * zlib (including development headers) * OpenSSL (including
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Google Code Archive - Long-term storage for Google Code Project Hosting.