LoginSignup
4
2

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@T_OMORIinNew Relic 株式会社

アプリケーションのライブラリの脆弱性を定常的に確認

Last updated at Posted at 2023-10-30

概要

バックエンドで動作するアプリケーションは様々なOSSのライブラリなどを使用して動いていることが多いと思います。そのライブラリに関連する脆弱性を日々追い続けるのは非常に骨の折れる作業です。脆弱性に関する重大な問題が世間で話題になったタイミングで、社内のセキュリティ担当者からアプリケーションで使用しているライブラリの調査を依頼されるという後手後手の対応になるということも実際にはあるかと思います。

こちらの記事では、New RelicのVulnerability Managementの機能で、アプリケーションが使用しているライブラリの脆弱性を確認する方法を試してみたいと思います。New RelicのAPMで日々モニタリングしておくことで、開発や運用の中でアプリケーションの脆弱性の状態を定常的に確認していくことが可能となります。

最新のアップデートの詳細はこちら。New Relic アップデート(2023年1月)

Vulnerability Managementの設定

New RelicのVulnerability Managementでアプリケーションのライブラリの脆弱性の状況を確認するためには、まずAPMエージェントをインストールする必要があります。

現時点(2025年1月20日時点)で対応している言語は下記の通りです。

  • Java
  • Node.js
  • Ruby
  • Python
  • Go
  • PHP

詳細は下記を参照ください。

また、Vulnerability Managementを使用するには、Data Plus契約が必要となります。

これで、New Relicに取り込まれたアプリケーションの情報とCVEの情報から脆弱性の情報をNew Relic上で管理することができます。

Vulnerability Managementの画面を表示

New Relic > APM & Services から対象のアプリケーションを開くと、Summary画面の一番右側にVulnerabilityという項目が表示されています。

image.png

この例では脆弱性としてCriticalが3個、Highが10個あることを概要として確認することができます。

image.png

また、このSummary画面のVulnerabilityをクリックするか、もしくは左から2列目のVulnerability Managementをクリックすることで、Vulnerability Managementの画面を表示できます。

image.png

アプリケーションの脆弱性の全体像を確認

Vulnerability Managementの画面を開くとSummaryタブが表示されます。

image.png

この画面では、Citical / High / Otherと区分けされた脆弱性がどのくらいの期間存在しているか、それぞれの区分けの脆弱性に関係しているライブラリがどのくらい存在しているかリスクの高い脆弱性の一覧などを確認することがができます。

image.png

アプリケーションに関連する脆弱性情報の一覧を確認

Vulnerabilityタブを開いてみます。

image.png

こちらの画面では、上部に脆弱性の総数と、その内訳としてCitical / High / Otherの脆弱性がそれぞれ何個存在しているかパネルで確認することができます。

image.png

またその下では、このアプリケーションに関連している脆弱性の情報が一覧で表示されます。

image.png

脆弱性をクリックすることで、脆弱性の情報ソースなどのより詳細な情報を表示することが可能です。

image.png

アプリケーションのライブラリに関連する脆弱性情報を確認

Librariesタブを開いてみます。

image.png

こちらの画面では、上部にライブラリの総数と、Citical / High / Otherのそれぞれの脆弱性が見つかっているライブラリの数をパネルで確認することができます。

image.png

また、その下には、ライブラリごとのバージョン情報や関連しているCitical / High / Otherの脆弱性の数、また、そのライブラリをどのバージョンに上げると脆弱性がどのくらい減るのか表示されています。最終的な判断はユーザー自身で行う必要はありますが、ライブラリのバージョンアップの方向性を決定する上で参考にしていただくことが可能です。

image.png

各ライブラリをクリックすることで、詳細情報を確認することができます。

image.png

まとめ

New RelicのVulnerability Managementを使用して、アプリケーションが使用しているライブラリの脆弱性を確認する方法を試してみました。New RelicのAPMで日々モニタリングしておくことで、開発や運用の中でアプリケーションの脆弱性の状態を定常的に確認していくことが可能となるのでぜひお試しください。

ちなみに、New RelicのVulnerability Managementでは3rdパーティのセキュリティツールと統合することで、アプリケーションのライブラリ以外にインフラの脆弱性分析なども一緒に管理することが可能です。詳細は下記を確認ください。

最新のアップデートの詳細はこちら。New Relic アップデート(2023年1月)

New Relic株式会社のQiita Organizationでは、
新機能を含む活用方法を公開していますので、ぜひフォローをお願いします。

4
2
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
4
2

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?