LINEで送る
Pocket

ビズリーチさんがセキュリティ事業を始めたということで、新サービスである、オープンソース脆弱性管理ツール「yamory(ヤモリー)」がリリースされました。実際に3年前くらいにRuby/Railsで作った掲示板アプリ(メンテしてない)にどのくらい脆弱性があるのか、Vuls推進している私にとってセキュリティツールは興味があるので試してみましたが、これは笑えないレベル….というわけで簡単にブログします。


■オープンソース脆弱性管理ツール「yamory」とは

https://www.bizreach.co.jp/pressroom/pressrelease/2019/0827.html

https://yamory.io/

GitHubで連携して、利用している開発言語やビルドシステム やパッケージ管理システムに合わせて、最適な脆弱性スキャン方法を提供して、脆弱性数を可視化してくれるセキュリティツールになります。対応している言語は以下!

https://yamory.io/docs/

  • Java
  • Ruby
  • Scala
  • PHP
  • Python
  • JavaScript
  • Golang (Coming soon. )
  • C# (Coming soon. )

■yamoryを試してみる

  • アカウント作成

https://yamory.io/trial/

  • 新しいプロジェクトのスキャン

個人のGitHubを連携しましょう!

  • スキャンしたいGitHubリポジトリを追加する

今回は RVIRUS/adachin_bbs リポジトリをスキャンしてみます。

  • ダッシュボード

おおおマイガー!!実際に脆弱性レベルがちゃんと可視化されているようです。対応優先度については以下!となるとこのアプリケーションでレベル的にヤバい脆弱性は 10個! むしろ少ない??

https://yamory.io/docs/auto-triage/

実際にどのように対応すればいいのかは以下のようにアドバイスをいただけます!

ひえええバージョンアップ!!実際にCVSS、PoC情報、CPEなどの情報をくれるので、これはなかなか参考になる!以下のように対応した脆弱性や対応していない脆弱性を検索も可能です。

  • アラート設定

定期的に通知もSlackとメールで届くので良き。(以下yamory ドキュメントより)
※Slack通知はアカウント作成したすぐに設定すると良いです!(2回目以降のスキャンは通知されないため)

  • Slack

  • メール


■まとめ

たくさんの脆弱性検知サービスが世の中ありますが、これ本当に対応しなきゃいけないの?などすべて検知されて、全部アップデートしてください!など信ぴょう性に欠けるイメージがあると思います。yamory対応優先度脆弱性対応に伴った情報があるので、よしなにチーム同士でコミュニケーションを取りながら対応できるのがメリットと感じました。また、セキュリティ対応していない会社さんもシンプルで使いやすいので、導入しやすいかと思います。!Linuxの脆弱性検知はVulsで、アプリケーションの脆弱性検知はyamoryなど使い方でセキュリティ対応が推進できそうです。!というか、このリポジトリバージョンアップしとこう。。。Goの対応楽しみに待ってます!

ちなみに

ヤモリは、壁や窓、屋根裏など家の隅々まで行くことができ、人間にとっての害虫を食べてくれる、縁起のいい生き物とされています。家を守るとされ、漢字では「守宮」「家守」とも表されます。また、環境により皮膚の色を変幻自在に変える、臨機応変さを持つ存在でもあります。ヤモリのこれらの特徴から、それぞれの状況に合わせて大切なものを守ってくれる存在という思いを込めて、yamoryと名付けました。

なるほど!!

LINEで送る
Pocket


adachin

1989年生まれのSRE。 ホスティングから大規模なアドテクなどのインフラエンジニアとして携わり、AnsibleやTerraformでのインフラコード化を推進。副業では数社サーバー保守、未経験によるエンジニアのメンターなども実施している。また、「脆弱性スキャナVuls」のOSS活動もしており、自称エバンジェリスト/技術広報/テクニカルサポート/コントリビュータでもある。現在はサービスの信頼性向上、可用性、レイテンシ、パフォーマンス、モニタリング、緊急対応、インフラコード化、リファクタリング、セキュリティ強化、新技術の検証、Docker開発環境の提供、AWSでのインフラ構築、Wordpressによるコーポレートサイトの修正、メンター、分析基盤の運用を担当している。

0件のコメント

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください