概要
2019/12/24に開催されたOSS脆弱性管理入門・ビズリーチのOSS脆弱性管理とその運用事例に参加し、yamoryについてのまとめです。
前提
上記リンク先のイベントページに記載されている内容を把握した前提でまとめていきます。
yamory
主機能
- SBOM(ソフトウェア詳細)の作成する
- 脆弱性・PoCの発生を確認する
背景
2009年から始まったビズリーチさんの中でいろんな課題があった中、セキュリティ関連を対応する際に作られたツールが #yamory だったとのこと👀
— gremito #ものラジ CSM® フリーランス (@grem_ito) December 24, 2019
また、特許申請しているとのこと。
サイバー攻撃の危険度などをもとに、対応優先度を分類(オートトリアージ機能 ※特許出願中)
詳細: オープンソース脆弱性管理ツール「yamory(ヤモリー)」をリリース
話題
サービス・ツールなど
説明会中に参加者や主催サイドで出てきた用語のまとめです。
ニュース・トレンドなど
説明会の資料の内に紹介された話題のまとめです。
- OWASP Top10
- 2019 vulnerability statistics report - Edgescan
- カード情報など約72万件が漏えいか。決済代行のGMOペイメントゲートウェイ
- CVE-2019-11043
- CVSS
アンケートで聞かれたテストの種類
プラン
- 無料プランあり(個人向け)
- 有料プラン通常:20万/月
- 採用実績可の場合
- 最初の1年間のみ:5万/月
Q&A
CLIの対応について
現在の対応サポートでビルドしないとDependenceが分からない言語・フレームワークに関しては、用意しているCLIツールの対応が必要である。
CLIツールはcurlコマンドを使ったコマンドラインを診断したいサーバ内で実行する必要がある。
もし、Dependenceの情報が全てGitHub上で管理されているのであれば、GitHub連携で対応可能である。
CLIに問題があったときにどのくらいの温度感で対応してもらえるのか?
その都度、個別対応になるためその時にならないと分からない。
提示されている契約内容で読み取れない部分がある
有料プランの契約の際に個別契約を結ぶことが可能である。
感想
すぐに扱えることはできず、案件の要件によって対応できるできないが決まってしまうことがわかりました。
契約内容ちゃんと確認しないと情報をyamoryに取られる可能性もあるためちゃんと個別契約を結ぶ温度感で対応が必要って感じがしました。
気になっている点は、CLIツールがあるというものの実態はcurlコマンドベースで用意されているコマンドラインであるため、ネットワークのセキュリティ対策を先にやられている案件(例えばGitLabやLDAPなど)では、その都度コミュニケーションが必要になるためコストが高くなってしまい採用しずらいと感じました。
有料プランも高いため個人開発にも導入しずらく、コミュニケーションコストをある程度許容できるのであれば採用できそうなサービスでした。