はじめに
この記事は、「Snyk を使って開発者セキュリティに関する記事を投稿しよう!」のイベント記事です
脆弱性の情報を調べると検索によく引っかかる Snyk Vulnerability Database について記載します
Snyk Vulnerability Database について
Synk が提供する脆弱性データベース (と理解しています)
ライブラリやパッケージを設定しておくと、脆弱性の情報を確認することができますが、Vulnerability Database 単体でも利用することができます
同様のサービスとして、 "GitHub Advisory Database" が存在します
脆弱性に関する情報を調べる
Snyk Vulnerability Database を使って脆弱性に関する情報を調べてみます
今回調べるのは、Qiita で開発している qiita-markdown で過去生じた Cross-site Scripting (XSS) / CVE-2021-28796 について調べてみます
Snyk Vulnerability Database にアクセスする
https://security.snyk.io/ にアクセスし、調査したい CVE-2021-28796 を入力し検索します
詳細ページへと進むと、 スコアや、脆弱性の情報および修正されているバージョンなどが記載されています
また、 XSS についての説明もあり普段から脆弱性の情報を収集している方は不要かもしれませんが、これから脆弱性の対応を始める人には参照しながら対応を行うと学びも多いのではないかと感じます
(参考) GitHub Advisory Database で脆弱性の情報をしらべる
GitHub Advisory Database Top にアクセスし CVE-2021-28796 を入力します
検索に引っかかった脆弱性の情報は詳細ページに進むと確認することができます
Synk と違い 対象のバージョンと関連リンクが簡潔に記載されています
Snyk Vulnerability Database と GitHub Advisory Database どちらを利用するかは好みによって別れそうだという感想です
最後に
実は、 Snyk のサービスは脆弱性の情報を調べたときによく出てくるな程度しか知りませんでした。
今回記載した、「Snyk Vulnerability Database」は知らずに利用していたので今回記事にしました
脆弱性情報の調査や対応は難しそう、大変そうという声を聞いたことがあったので、進め方など知っていれば大変ではないので調査など小さく初めて見るとよいと思います
Reference