tool
go-cve-search 作ってみた - TDD, Circleci, README Badge, Terminal Gif, Cliツール開発の話の続きでGoReleaserを使ってhomebrew installでGoのCLIツールを簡単にインストールできるようにしました。 brew tapでs-index/go-cve-searchを登録して、brew inst…
CodeQLは、Semmleが提供しているコードセマンティック解析に使用するツールで、脆弱性やコードの品質の可視化を行うことができます。 2019年9月18日にGithubがCodeQLを開発しているSemmleを買収し、現在「GitHub Code Scanning」(リミテッドベータ)として利…
Go言語でgo-cve-searchという簡単なcliツールを作ってみました。 作成に当たってのモチベーションとしては以下の4つ。 ・Go言語でcliツールを作ってみたい ・Circleci (CI/CD) を使ってみたい ・READMEにterminalのgifとバッジを付けてみたい ・TDDで開発し…
Vulsのコードを読む その1 全体像の把握, Vulsのコードを読む その2 go-cve-dictionary を理解する、バグを見つけてプルリクを出してマージされるまで, Vulsのコードを読む その3 Vuls scanを調べてみた の続きになります。 今回はVuls reportの部分を調…
Vulsのコードを読む その1 全体像の把握, Vulsのコードを読む その2 go-cve-dictionary を理解する、バグを見つけてプルリクを出してマージされるまでの続きになります。 今回は、Vulsのscan部分を具体的に掘り下げて理解していきたいと思います。
前回、Vulsのコードを読む その1 全体像の把握でざっくりとscanコマンド周りのそーうコードと実行時の流れの理解を行いました。 今回は、Vulsの中で利用されている go-cve-dictionary についてソースコードを読んで、理解をしていきたいと思います。 また、…
HTTPセキュリティヘッダーを簡単に検証できるWebツール、CLIツールを調べて見ました。 ブラウザのデベロッパーツールでも確認することは可能ですが、より詳細に、より簡単に検証するためにはやはりWebツール、CLIツールを利用することがおすすめです。 既に…
脆弱性スキャナ Vulsのコードを読んで理解を深めていきたいと思います。 GitHub - future-architect/vuls: Agent-less vulnerability scanner for Linux, FreeBSD, Container Image, Running Container, WordPress, Programming language libraries, Network…
ビズリーチのOSS 脆弱性管理サービス yamory がついに無料トライアルできるようになったので使ってみました。 以前「ビズリーチのOSS 脆弱性管理サービス yamoryについて調査 どんなことができて、どう実現されているのか」という記事を書きました。 実際に…
ソフトウェアデザイン 2019年11月号の特集2が脆弱性スキャナ Vuls/Trivy/Dockleとのことでしたので早速購入してみました。 使い方の説明もありますが、私としてはそれぞれのOSS作者の開発秘話のような話が聞けてとても面白かったです。 自分もOSSへコミット…
ビズリーチより8月27日にGithubのリポジトリからオープンソース(OSS)の脆弱性を発見、管理できるようにするWebアプリケーション「yamory」が発表された。 どんな機能があり、どんなことができるのか、どう実現されていそうかなどについて説明します。 また、…
Androidのセキュリティを学ぶための脆弱なアプリEVABSがリリースされた。 このアプリでは、レベルごとに設定された課題(Challenges)をクリアしていくことでAndroidのセキュリティを学んでいく事ができる。 課題をクリアするためにはADB、apktool、dex2jarな…
パスワードの流出確認ができるサイト「Have I Been Pwned?」、このAPIとPastebin Dumpsでパスワードの特定を行うことができるOSINT ツール pwnedOrNot v1.2.8 がリリースされた。 使い方は簡単。入力としてメールアドレスや複数のメールアドレスが書かれたフ…
Black Hat USA 2019で新しい脆弱性のスコアリングシステムThe Exploit Prediction Scoring System (EPSS)が提案された。 https://i.blackhat.com/USA-19/Thursday/us-19-Roytman-Jacobs-Predictive-Vulnerability-Scoring-System.pdf 多くの企業がCVSSという…