ビズリーチさんがセキュリティ事業を始めたということで、新サービスである、オープンソース脆弱性管理ツール「yamory(ヤモリー)」がリリースされました。実際に3年前くらいにRuby/Railsで作った掲示板アプリ(メンテしてない)にどのくらい脆弱性があるのか、Vuls推進している私にとってセキュリティツールは興味があるので試してみましたが、これは笑えないレベル….というわけで簡単にブログします。
■オープンソース脆弱性管理ツール「yamory」とは
https://www.bizreach.co.jp/pressroom/pressrelease/2019/0827.html
GitHubで連携して、利用している開発言語やビルドシステム やパッケージ管理システムに合わせて、最適な脆弱性スキャン方法を提供して、脆弱性数を可視化してくれるセキュリティツールになります。対応している言語は以下!
- Java
- Ruby
- Scala
- PHP
- Python
- JavaScript
- Golang (Coming soon. )
- C# (Coming soon. )
■yamoryを無料で試してみる
- アカウント作成
https://app.yamory.io/signup?type=free_permanent
- 新しいプロジェクトのスキャン
個人のGitHubを連携しましょう!
- スキャンしたいGitHubリポジトリを追加する
今回は RVIRUS/adachin_bbs リポジトリをスキャンしてみます。
- ダッシュボード
おおおマイガー!!実際に脆弱性レベルがちゃんと可視化されているようです。対応優先度については以下!となるとこのアプリケーションでレベル的にヤバい脆弱性は 10個! むしろ少ない??
https://yamory.io/docs/auto-triage/
実際にどのように対応すればいいのかは以下のようにアドバイスをいただけます!
ひえええバージョンアップ!!実際にCVSS、PoC情報、CPEなどの情報をくれるので、これはなかなか参考になる!以下のように対応した脆弱性や対応していない脆弱性を検索も可能です。
- アラート設定
定期的に通知もSlackとメールで届くので良き。(以下yamory ドキュメントより)
※Slack通知はアカウント作成したすぐに設定すると良いです!(2回目以降のスキャンは通知されないため)
- Slack
- メール
■まとめ
たくさんの脆弱性検知サービスが世の中ありますが、これ本当に対応しなきゃいけないの?などすべて検知されて、全部アップデートしてください!など信ぴょう性に欠けるイメージがあると思います。yamoryは対応優先度と脆弱性対応に伴った情報があるので、よしなにチーム同士でコミュニケーションを取りながら対応できるのがメリットと感じました。また、セキュリティ対応していない会社さんもシンプルで使いやすいので、導入しやすいかと思います。!Linuxの脆弱性検知はVulsで、アプリケーションの脆弱性検知はyamoryなど使い方でセキュリティ対応が推進できそうです。!というか、このリポジトリバージョンアップしとこう。。。Goの対応楽しみに待ってます!
ちなみに
ヤモリは、壁や窓、屋根裏など家の隅々まで行くことができ、人間にとっての害虫を食べてくれる、縁起のいい生き物とされています。家を守るとされ、漢字では「守宮」「家守」とも表されます。また、環境により皮膚の色を変幻自在に変える、臨機応変さを持つ存在でもあります。ヤモリのこれらの特徴から、それぞれの状況に合わせて大切なものを守ってくれる存在という思いを込めて、yamoryと名付けました。
0件のコメント