Security Index

セキュリティやソフトウェアについてのあれこれ

tool

GoReleaserとGithub Actionsを使ってGoのCLIツールをHomebrew installできるようにする

go-cve-search 作ってみた - TDD, Circleci, README Badge, Terminal Gif, Cliツール開発の話の続きでGoReleaserを使ってhomebrew installでGoのCLIツールを簡単にインストールできるようにしました。 brew tapでs-index/go-cve-searchを登録して、brew inst…

Githubの新しいセキュリティ機能 CodeQLを使ってみる

CodeQLは、Semmleが提供しているコードセマンティック解析に使用するツールで、脆弱性やコードの品質の可視化を行うことができます。 2019年9月18日にGithubがCodeQLを開発しているSemmleを買収し、現在「GitHub Code Scanning」(リミテッドベータ)として利…

go-cve-search 作ってみた - TDD, Circleci, README Badge, Terminal Gif, Cliツール開発の話

Go言語でgo-cve-searchという簡単なcliツールを作ってみました。 作成に当たってのモチベーションとしては以下の4つ。 ・Go言語でcliツールを作ってみたい ・Circleci (CI/CD) を使ってみたい ・READMEにterminalのgifとバッジを付けてみたい ・TDDで開発し…

Vulsのコードを読む その4 Vuls reportを調べてみた

Vulsのコードを読む その1 全体像の把握, Vulsのコードを読む その2 go-cve-dictionary を理解する、バグを見つけてプルリクを出してマージされるまで, Vulsのコードを読む その3 Vuls scanを調べてみた の続きになります。 今回はVuls reportの部分を調…

Vulsのコードを読む その3 Vuls scanを調べてみた (Vulsへのプルリク)

Vulsのコードを読む その1 全体像の把握, Vulsのコードを読む その2 go-cve-dictionary を理解する、バグを見つけてプルリクを出してマージされるまでの続きになります。 今回は、Vulsのscan部分を具体的に掘り下げて理解していきたいと思います。

Vulsのコードを読む その2 go-cve-dictionary を理解する、バグを見つけてプルリクを出してマージされるまで

前回、Vulsのコードを読む その1 全体像の把握でざっくりとscanコマンド周りのそーうコードと実行時の流れの理解を行いました。 今回は、Vulsの中で利用されている go-cve-dictionary についてソースコードを読んで、理解をしていきたいと思います。 また、…

HTTPセキュリティヘッダーを検証する Webツール、CLIツール Mozilla Observatory, Observatory-cli, testssl

HTTPセキュリティヘッダーを簡単に検証できるWebツール、CLIツールを調べて見ました。 ブラウザのデベロッパーツールでも確認することは可能ですが、より詳細に、より簡単に検証するためにはやはりWebツール、CLIツールを利用することがおすすめです。 既に…

Vulsのコードを読む その1 全体像の把握

脆弱性スキャナ Vulsのコードを読んで理解を深めていきたいと思います。 GitHub - future-architect/vuls: Agent-less vulnerability scanner for Linux, FreeBSD, Container Image, Running Container, WordPress, Programming language libraries, Network…

ビズリーチのOSS 脆弱性管理サービス yamory 無料トライアル 使ってみた 他のツールとの比較などのレビュー

ビズリーチのOSS 脆弱性管理サービス yamory がついに無料トライアルできるようになったので使ってみました。 以前「ビズリーチのOSS 脆弱性管理サービス yamoryについて調査 どんなことができて、どう実現されているのか」という記事を書きました。 実際に…

ソフトウェアデザイン 2019年11月号 脆弱性スキャナ特集(Vuls/Trivy/Dockle) まとめと感想

ソフトウェアデザイン 2019年11月号の特集2が脆弱性スキャナ Vuls/Trivy/Dockleとのことでしたので早速購入してみました。 使い方の説明もありますが、私としてはそれぞれのOSS作者の開発秘話のような話が聞けてとても面白かったです。 自分もOSSへコミット…

ビズリーチのOSS 脆弱性管理サービス yamoryについて調査 どんなことができて、どう実現されているのか

ビズリーチより8月27日にGithubのリポジトリからオープンソース(OSS)の脆弱性を発見、管理できるようにするWebアプリケーション「yamory」が発表された。 どんな機能があり、どんなことができるのか、どう実現されていそうかなどについて説明します。 また、…

Android セキュリティ教育のための脆弱なアプリ EVABS リリース

Androidのセキュリティを学ぶための脆弱なアプリEVABSがリリースされた。 このアプリでは、レベルごとに設定された課題(Challenges)をクリアしていくことでAndroidのセキュリティを学んでいく事ができる。 課題をクリアするためにはADB、apktool、dex2jarな…

パスワードが流出していないかどうか検査できるOSINTツール pwnedOrNot

パスワードの流出確認ができるサイト「Have I Been Pwned?」、このAPIとPastebin Dumpsでパスワードの特定を行うことができるOSINT ツール pwnedOrNot v1.2.8 がリリースされた。 使い方は簡単。入力としてメールアドレスや複数のメールアドレスが書かれたフ…

新しい脆弱性スコアリングシステム CVSSの欠点へ対応 Black Hat USA 2019

Black Hat USA 2019で新しい脆弱性のスコアリングシステムThe Exploit Prediction Scoring System (EPSS)が提案された。 https://i.blackhat.com/USA-19/Thursday/us-19-Roytman-Jacobs-Predictive-Vulnerability-Scoring-System.pdf 多くの企業がCVSSという…