Vulsのgo-cve-dictionaryを有効活用 - Qiita
VulsはOSSの脆弱性スキャンツールで、サーバ内のパッケージ情報等をチェックして、公開されている脆弱性情報に該当するものがないかを調べてくれるツールです。 このVulsの仕組みの中で、go-cve-dictionaryというのがあります。 これは、脆弱性情報の公開データをDBに取り込み管理するためのツールとなっています。 NVD、JVNのサイト上で公開されている情報をクローリングしてVulsで活用できる状態でDBに保存します。 このgo-cve-dictionaryを使ってみたので記録を残しておきます。 go-cve-dictionaryのインストール 基本的にはこちらに記載の通りでOK。 https://github.com/kotakanbe/go-cve-dictionary 今回は簡易にSQLite3をDBとして利用しました。 CentOS上に以下の通り実施。(goの環境は既にあ
OSSのシステム脆弱性スキャン・検査ツール「OpenVAS」「Vuls」「OpenSCAP」を使ってみよう
はじめに 前回に引き続き、今回もシステムの脆弱性スキャン・検査ツールを紹介していきます。今回はOSSのOpenVAS、Vuls、OpenSCAPについて簡単に概略を解説し、機能比較を行います。 OpenVASの概略 OpenVASは、前回で解説したNessusがクローズドソースになった後、これまでに公開されていたOSSのソースコードをベースに開発が続けられています。基本的な構成はNessusと同じエージェントレスの脆弱性検査ツールで、2017年11月時点での最新のバージョンはOpenVAS-9です。 Linux版のOpenVASでは各ディストリビューション用のパッケージが用意されているので、そちらを用いた方が簡単にインストールできます。今回、筆者はUbuntu 17.10-desktopにUbuntu用のOpenVAS 9をインストールしました。インストールはhttps://launchp
OWASP Dependency Checkを、Vulsと連携して表示させる - IDCF テックブログ
こんにちは。Vuls Slackチーム辺りをうろうろしている、井上と申します。 MORIO Dojoは白帯のままです(そろそろ青帯になりたい)。 某SNSでは、脆弱性情報やセキュリティインシデントを追いかけています。 近年、セキュリティ業界でも「シフトレフト」が叫ばれています。 「テストなどの工程を、プロジェクトライフサイクルのより速い段階で実施する」というアプローチです。 セキュリティに関しても同様で、リリース前にテストをすることで、リリース後のセキュリティ対応負荷を軽減することができます。 今回は、WEBアプリケーションの依存ライブラリの脆弱性を検査する OWASP Dependency Checkを利用して、WEBアプリケーションリリースのシフトレフト、を目指します。 OWASP Dependency Checkとは OWASPとは、2015年の資料によると以下のように説明されていま
vulsでRPM以外も脆弱性検知(grasys)
かなりXXenvを多様していますw 大好きXXenv! anyenvは自動管理するに少しやりにくいところがあったのでうちでは使ってません 開発環境とかだと自分で常にいじったりしてるだろうからいいんだろうけどね〜 上記以外で言語系ではないですがautoenvなども便利なので使ってます! 上記以外のgrasysの必須コンポーネント consulserfgitetc… RPM以外をどうやって検知対象に入れているか /usr/local配下 以下あるインスタンスの/usr/localの状態です。 $ tree -L 1 /usr/local/ /usr/local/ ├── bin ├── etc ├── games ├── hiredis -> /usr/local/hiredis-0.10.1 ├── hiredis-0.10.1 ├── include ├── lib ├── lib64 ├
[改訂版]vulsを使って脆弱性の自動スキャンを実現する - Qiita
vulsは脆弱性確認を楽にしてくれる可能性を秘めた、サーバー運用者にとって期待のツールです。 前回書いた記事に開発者の @kotakanbe@github さんから有益な情報を頂いたのと、その後有益な記事を参考にしたのとで、大幅に文章を修正しました。 あまりに更新量が多かった (=簡略化できた)ので、別記事としています。 具体的には go-cve-dictionaryのdaemon化が不要だった ため、手順を省略しました。 日本語脆弱性辞書を扱うようにしました。 上記変更に伴い、実行例や実行コマンド例も変えました。 なお、導入手順は基本的にオフィシャルに従えば良いのですが、AWSベースで書かれています。本記事はオンプレ用に端折った手順のメモです。 以下、環境はCentOS7で、2016/06/14に実施した手順です。 本手順で入るgo-cve-dictionaryおよびvulsのバージョン
![[改訂版]vulsを使って脆弱性の自動スキャンを実現する - Qiita](https://cdn-ak-scissors.b.st-hatena.com/image/square/e0584f55beaf720e339d16ec7b8530c0f8a99775/height=288;version=1;width=512/https%3A%2F%2Fqiita-user-contents.imgix.net%2Fhttps%253A%252F%252Fcdn.qiita.com%252Fassets%252Fpublic%252Farticle-ogp-background-412672c5f0600ab9a64263b751f1bc81.png%3Fixlib%3Drb-4.0.0%26w%3D1200%26mark64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTk3MiZoPTM3OCZ0eHQ9JTVCJUU2JTk0JUI5JUU4JUE4JTgyJUU3JTg5JTg4JTVEdnVscyVFMyU4MiU5MiVFNCVCRCVCRiVFMyU4MSVBMyVFMyU4MSVBNiVFOCU4NCU4NiVFNSVCQyVCMSVFNiU4MCVBNyVFMyU4MSVBRSVFOCU4NyVBQSVFNSU4QiU5NSVFMyU4MiVCOSVFMyU4MiVBRCVFMyU4MyVBMyVFMyU4MyVCMyVFMyU4MiU5MiVFNSVBRSU5RiVFNyU4RiVCRSVFMyU4MSU5OSVFMyU4MiU4QiZ0eHQtYWxpZ249bGVmdCUyQ3RvcCZ0eHQtY29sb3I9JTIzMjEyMTIxJnR4dC1mb250PUhpcmFnaW5vJTIwU2FucyUyMFc2JnR4dC1zaXplPTU2JnM9NjU4ZjhjNWQ3MGI5YWNmZmFiZTlkMTRiYmVjODc5OGQ%26mark-x%3D142%26mark-y%3D57%26blend64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZoPTc2Jnc9NzcwJnR4dD0lNDBFdHMmdHh0LWNvbG9yPSUyMzIxMjEyMSZ0eHQtZm9udD1IaXJhZ2lubyUyMFNhbnMlMjBXNiZ0eHQtc2l6ZT0zNiZ0eHQtYWxpZ249bGVmdCUyQ3RvcCZzPTY5MWY0YjEzZWY3OGEwZGMzYmQ1ZjJlZDg1MjlhMTM0%26blend-x%3D142%26blend-y%3D436%26blend-mode%3Dnormal%26txt64%3DaW4g5qCq5byP5Lya56S-44Oq44OW44K744Oz44K5%26txt-width%3D770%26txt-clip%3Dend%252Cellipsis%26txt-color%3D%2523212121%26txt-font%3DHiragino%2520Sans%2520W6%26txt-size%3D36%26txt-x%3D156%26txt-y%3D536%26s%3Dac0c6eabc15a3aa570fd4860e209cd33)
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
OSS or Freeのセキュリティ診断ツール - Qiita
