www.jpcert.or.jp piyolog.hatenadiary.jp 先週は Apache Log4j の脆弱性問題が大きな話題となった……と過去形で書いてはいけないのかもしれない。危機はまだ続いている。 今回、脆弱性の破壊力のヤバさとともにクローズアップされたのは、今日、多くのビジネスの生命線となっているオープンソースソフトウェアのメンテナンスが、無報酬であり感謝されない仕事になっており、「オープンソースは壊れている」んじゃないの? という問題である。 20年以上みんなずっと同じ話してるなと思ってしまうが、オープンソースが壊れている、壊れていないの話がやたらに流れている。この文脈ならフリーソフトウェアの時代からずっと壊れてるんだよ。それでも動いているのは自由だからだよ。— Shuji Sado (佐渡 秀治) (@shujisado) December 14, 2021 dev
こんにちは。脆弱性自動管理ツール「yamory」の起案からサービス全体のディレクションに携わっている、サイバーセキュリティ事業部 プロダクト開発部 部長の鈴木康弘(やっぴー)です。 前回の記事「yamory の今までを振り返り、2020年に目指すこと」では、「yamory」の開発背景といったストーリーをお伝えしました。 ニュースサイトに掲載いただけるなど想像以上の反響をいただき、たいへん驚いております。 今回は「yamory」が対応するオープンソース・ソフトウェア(OSS)の脆弱性。 この OSS の脆弱性対策や管理がなぜ重要なのかについて皆さんにお伝えしていきたいと思います。 オープンソース・ソフトウェア(OSS)は自己責任でメンテナンスする必要があるオープンソース・ソフトウェア(以下OSS)とは、ソースコードを無償で公開し、誰でも自由に利用や改良・再配布できるようにしたソフトウェアです
株式会社アシュアードが提供するyamoryは、ソフトウェア内部の構成(SCA:ソフトウェアコンポジション解析)からホスト/コンテナ/クラウド/ネットワーク機器など全レイヤーに対応した脆弱性管理ができる国内唯一のクラウドサービスです。 独自のリスクデータベースの活用で、クラウドの設定不備、OSSのライセンス違反やEOLリスクの検知も可能です。
昨今のウェブアプリケーションでは、ほとんどの場合、オープンソースのフレームワークやライブラリのような、自社開発ではないパッケージ化された部品(コンポーネント)を組み合わせて構築することでしょう。ですから、もしも既知の脆弱(ぜいじゃく)性が存在するようなコンポーネントを利用してウェブアプリケーションを開発していた場合には、組み込まれたコンポーネントの脆弱性を悪用され、攻撃を受けてしまう可能性が高くなります。 本稿では、ウェブアプリケーションに組み込まれている脆弱性が存在するコンポーネントの洗い出しに有用な、OWASPコミュニティより公開されているツール「OWASP Dependency Check」の概要および利用方法について解説します。 はじめに 本連載の第1回では、ウェブアプリケーションにおける重要なインパクトのある10のセキュリティリスクについてまとめた「OWASP Top 10」につ
バルスというツールをご存知だろうか? 日本ではとあるアニメの崩壊の呪文として扱われることの多いこのフレーズがいま、サーバー管理者のシステム崩壊を防ぐためのツールとして注目されている。OSSの脆弱性検知ツールであるVuls(バルス)について、開発元であるフューチャーアーキテクトの神戸 康多氏と林 優二郎氏に詳しく話を聞いた。 まずはVulsについて簡単に教えてください 神戸氏:VulsはVULnerability Scannerの略で、Linux/FreeBSD向けの脆弱性スキャンツールです。OSのみならずプログラミング言語やライブラリに至るまで多くの環境に対応し、レポートや通知を行います。ソフトウェアには数多くのバグが含まれ日々脆弱性に関するレポートが報告されています。サーバー管理者は脆弱性に関する情報を随時チェックし、その脆弱性が自身が管理するサーバーにどれくらい含まれているのか影響範囲
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
