この資料は、Vuls祭り#3(2017/10/19)で発表した資料です。
Who?
Ushida Takayuki @usiusi360
VulsRepo作者
-
SoftwareDesign執筆
- 第2章:Vuls導入チュートリアル
- 第3章:Vulsとさまざまなプロダクトとの外部連携
- 質問等あったら随時どーぞ!!
VulsRepoとは?
- Vulsでスキャンした結果ファイル(JSON)を元に可視化するWebビューア
出来ること
ピボットテーブル的にグリグリ項目を入れ替えて分析できる
グラフで可視化
脆弱性(CVE-ID)の詳細を一覧化
changelogもWebUIから閲覧可
Vuls v0.4.0の公開に合わせてVulsRepoもバージョンアップしました。その変更点をまとめます。
変更点① インストールが簡単に!
- Apache等のWebサーバが不要に
- 実行ファイルをダウンロードしてバイナリを実行するだけ!
- たったの3ステップ
変更点② NVD、JVNのタブを廃止して一画面に集約
- NVD、JVN、Vuls v0.4.0で追加されたRedHatなどの「OVAL」のデータを一つの画面で比較できる。
- 一つの画面で比較することで、NVD、JVN、とRedHatとのスコアの差が明確に!
変更点③ CVSS基本値をレーダーチャート表示に
- JVNの表示 ⇒ぱっと見じゃ分かりずらい
NVDの表示 ⇒そうとう訓練されていないと難しい
-
VulsRepo ⇒深刻度の大小が一目でわかる!
-
変更点④ RedHat(CVSSv3)の表示
変更点⑤ RebootRequiredの表示
- インストールされているカーネルバージョンと動作中のカーネルバージョンが異なる場合に表示
- 一覧にすると凄く目立つ!! リブート忘れのサーバのチェックに!
変更点⑥ NewPackageVer、NotFixYetの表示
- NewPackageVer
- リポジトリ上の最新パッケージバージョン
- NotFixYet
- 脆弱性修正済みのパッケージが存在しないもの
- VulsRepoのピボット機能で簡単にフィルタ・集計が可能
その他
- 外人に目が潰れるとディスられた
外国語の先生にも「目に優しくない」と言われた・・・
⇒原色系の色を抑えました・・・