この記事は、Vuls Advent Calendar 2016の25日目の記事です。
あけおめことよろ、浅香光代です。今日もいい天気だね。
投稿が遅れてメンゴです。
年末はreport subcommandの実装#270や、実家で磯自慢を飲んでたもんですので、あたしゃ忙しかったんだよ。
2016年は4/1にVulsを公開し、結構バズり、勉強会やでっかいカンファレンスで10回以上も登壇したりと目まぐるしかったねぇ。
VulsをOSSで公開した瞬間からあたしのエンジニャー人生変わったよ。
Vulsを使って世の中のサーバから脆弱性が減ったはずで、
サーバ運用担当者が楽になった、ソーサンクスって言われることもたまにはあるもんですので、
こんなしょうもない僕でも少しは世界の平和に貢献できたかな。
さて、今年2017年は
Vulsを脆弱性のスキャンツールの中で、スキャン精度で一番にしたいね。
その実績を持って、Vulsで海外のカンファレンスでの登壇を目指すよ。
あたしゃワクワクしてるね。
以下に今考えている今年の改造ポイントをメモっておくね。
スキャン精度向上
- OVAL
- Ubuntu Security
- Clairのを参考にする
- RedHatの情報を取り込む
- Debsecanを参考に
Reportingのプラギン化
- input, formatter, outputをプラグイン化したいね。成功しているOSSってプラグインを上手く使ってコミュニティ活性化してる感じだもんね。FluentdとかMackerelとかいいよね。VulsにもHipChat対応してよというissueがあるけど、正直ぼくHipChatつかってないもんだで、作る気にならないよ。このへんを普段使いしている人がサクッと作れるようにしたいね。
ポイントは、
- プラギンはライセンス自由に
- プログラミング言語も自由に(可能なら)
- 作った人が目立つように(Vulsのドキュメントプロジェクトに写真入りで載せたいね)
Go1.8でPluginの仕組みが導入されるようなので上手く使えればいいよね。1.8は2017年2月リリース予定だってさ。来月やん。
- http://qiita.com/qt-luigi/items/47a7913145fc747da0c7
エージェント化
Vulsは中央のVuls実行環境からスキャン対象のサーバにSSHで接続するんだけど、それだとセキュリティ的にアレですという環境があるとわりとよく聞くね。というわけでエージェント的にも動作するようにしたいね。
サーバレスVuls
AWS LambdaでVulsを使おうと試みた話で挙げられた課題をいい感じに直してサーバレスでサクッと動くようにしたいね。AWSやAzure, GCPなどとの連携はまだまだ応用例が沢山ありそうだよね。みなさんもどんどんノウハウ共有していきたいね。
2017年はガンガンいくよ
細かいこと含めまだまだ改善のアイディアはあるので、ガンガン改善していくよ。Slackなどでフィードバックいただけると、凄くありがたいね。
去年の後半は発表詰め込みすぎて若干開発が遅くなったのが反省っちゃ反省かな。でもおかげでいろんな方にPRできたし、いろんな方とつながれたし、とてもいい経験になったよ。今年も頑張るよ。というわけで今年もよろしくお願いします。