脆弱性スキャナVuls 関連リンク集

脆弱性スキャナVulsに関連する情報へのリンクをまとめてみました。
新しい情報を見つけたら随時更新していきます。

公式リポジトリ

• https://github.com/future-architect/vuls

インストール

公式日本語マニュアル
バージョンアップ時に度々オプション等の変更があるので、まずは公式マニュアルを。

• Docker

  • Install with Docker
  • Scan using Docker

• IDCFコミュニティテンプレート

  • 【IDCF Tech-Blog】コミュニティテンプレート Vuls の利用とTips
  • 【IDCF Tech-Blog】Vulsの大型アップデート 更新と移行手法

• さくらのクラウド

  • 【さくらのクラウドニュース】脆弱性検知ツール「Vuls」のスタートアップスクリプトを公開しました
  • 【GitHub】スタートアップスクリプト

• FreeBSD（ports）

  • https://www.freshports.org/security/vuls/

• Ansible

  • https://github.com/PacktPublishing/Security-Automation-with-Ansible-2/tree/master/Chapter08/vuls-scanning
  • Security Automation with Ansible 2
    Chapter 8: Continuous Security Scanning for Docker Containers
    Page247～254　Vuls – vulnerability scanner

コミュニティ

• Vuls Slackチーム　　→ 登録ページ
• Twitter: 日本語公式
• Twitter: 英語公式
• vuls-jp (connpass)
• Qiita Vulsタグ
• Vuls Advent Calendar 2016
• Vuls Advent Calendar 2017

周辺ツール(ソートは発見した順(おすすめ順ではない))

• k1LoW/ssh_config_to_vuls_config

  • ssh_config to vuls config TOML format
  • ssh_config形式のファイルからVulsのconfig.tomlを生成するコマンドを作った

• usiusi360/vulsrepo

  • VulsRepo is visualized based on the json report output in vuls.
  • 脆弱性スキャナVulsのログを使ってシステムに潜む脆弱性を可視化しよう

• ohsawa0515/ec2-vuls-config

  • ec2-vuls-config is useful cli to create config file for Vuls in Amazon EC2.
  • EC2のVulsスキャンをほんの少し便利にするツール「ec2-vuls-config」
  • EC2インスタンス一覧を出力し、Vulsの設定ファイルを作成するツール「ec2-vuls-config」

• Code0x58/easy-vuls

  • This is a single script to provide a quick and easy way to use vuls, go-cve-dictionary, and VulsRepo.

• kn0630/vulssimulator_ds

  • Simulate Deep Security's coverage for high urgency vulnerability reported by Vuls

• usiusi360/vuls-log-converter

  • VulsのログをCSVにしてExcelで可視化する
  • VulsのログをElasticSearchに取り込んで可視化する

• ohsawa0515/serverless-vuls

  • サーバレスVulsアーキテクチャ再び

• nakacya/vuls-to-redmine

  • vuls と redmine を連携してみよう

• GEROMAX/vuls_to_updateinfo

  • Vulsのレポートを使ってCentOSでyum --security updateしたい

• wallix/awless-templates

  • Agentless vulnerability scanner for Linux/FreeBSD
  • Deploy Vuls with awless and scan Linux instances for vulnerabilities (CVE, OVAL and NVD)

応用事例

他システム連携

• 脆弱性スキャナVulsでAmazon EC2をスキャンし脆弱性深刻度をタグ付けする
• Vuls for Azureできるかな（第1回）（第2回）（第2.5回）（第3回）（第4回）
• Zabbixに登録されたホスト情報を脆弱性スキャナVulsへ自動連携する
• Vulsでowasp dependency-checkを使う

結果通知

• 脆弱性検知ツールVulsで前日分との差分だけレポートする
• 脆弱性スキャナVulsのスキャン結果をZabbixへ連携しアラート通知する
• Vulsをキックして脆弱性の差分をSlackにポストさせるPythonスクリプト

PCI/DSS

• PCI/DSSとVuls
• Vulsで脆弱性スキャンを自動化してSlackとメール通知させ、本番環境で実稼働させるレベルに持っていく

その他

• vulsでRPM以外も脆弱性検知(grasys)
• Vuls・OpenVAS・Amazon Inspectorを徹底比較

勉強会・セミナー発表

2016年

発表日	発表イベント	タイトル
2016/6/28	IDCF クラウド MeetUp Vol.4	脆弱性検知ツールVulsを試してみた
2016/7/21	第一回MORIO Dojo入門者限定イベント　～Dojo開き～	(Vulsで)脆弱性対策をもっと楽に！
2016/7/6	JANOG38 Meeting	セキュリティオペレーション: 使ってる道具を教えて!～ Linux, FreeBSD 向け脆弱性スキャナ Vuls 開発者が熱く語る～
2016/7/22	Infrastructure as Code Casual 札幌 2016夏	セキュリティテストツール Vuls
2016/7/24	July Tech Festa 2016	Linux,FreeBSD脆弱性検知ツールVulsを開発したらServerspecを超えるGitHubスターを獲得するほどバズった話
2016/8/30	Fukuoka.php Vol.18	脆弱性スキャンツール Vuls の紹介
2016/9/26	Vuls祭り #1	Vuls祭り #1 KeyNote
↑	↑	Vulsで危険な脆弱性を最速検知！
↑	↑	vulsとPCI/DSS
↑	↑	PCI/DSS対応を考慮したVuls設定方法
↑	↑	EC2のVulsスキャンをほんの少し便利にするツール「ec2-vuls-config」
↑	↑	本番サーバでの実運用 on GCP
↑	↑	Vuls x Microsoft Azure
↑	↑	VulsとAzureでやってみた。
↑	↑	Vuls meets Mackerel
↑	↑	ZabbixアプライアンスをVulsしてみた話
↑	↑	Vuls×deep security
↑	↑	How to contribute Vuls
2016/9/29	【JAWS-UG初心者支部】 第7回勉強会 〜残暑に負けるな、大LT大会！〜	サーバの脆弱性を自動検知しよう on AWS（仮）
2016/10/7	Security Days Fall 2016 Tokyo	企業システムのセキュリティリスク、見えてますか？～世界が驚いた日本発のOSSによる脆弱性の可視化と異常の検知～
2016/10/22	AVTokyo2016	HIVE -Vuls-
2016/10/26	Mini Tech Talk（グリー社内勉強会）	Linux/FreeBSD用脆弱性スキャナVuls
2016/10/28	Security-JAWS 【第3回】	Amazon Inspectorを補完する - VulsとOWASP Dependecy-Checkを組み合わせてプログラミング言語ライブラリの脆弱性スキャン結果を日本語化、Slack通知できるようにしてみた
2016/11/3	PHPカンファレンス2016	.ssh/configを管理する .ssh/configで管理する ※k1LoW/ssh_config_to_vuls_configの紹介含む
2016/11/22	OSSユーザーのための勉強会#16	セキュリティの現状とOSSの応用
↑	↑	脆弱性スキャナーVuls徹底入門
↑	↑	Vuls・OpenVAS・Amazon Inspectorを徹底比較
2016/12/1	Internet Week 2016	脆弱性スキャナによる対策支援の課題
2016/12/1	OpenStack最新情報セミナー	サーバーの脆弱性管理に関して(OpenStack + Vuls)
2016/12/2	九州インフラ交流勉強会(Kixs) Vol.002	vuls × STNSで始める脆弱性検知の自動化
2016/12/7		サーバ脆弱性スキャナ Vuls を OpenStack 環境で使ってみた

2017年

発表日	発表イベント	タイトル
2017/1/16	［秋葉原］第2回ゼロから始めるセキュリティ入門 勉強会	脆弱性スキャナVulsで始めるセキュリティ対策
2017/1/19	JANOG39 Meeting	ぼくの考えたさいきょうのDevSecOps
2017/2/3	第2回 セキュリティ共有勉強会	脆弱性スキャナVulsを使ってDevSecOpsを実践！
2017/2/14	OpsJAWS Meetup#10 ~ バレンタインスペシャル！？ ~	脆弱性スキャナVulsのAWS環境への融合
2017/3/10	オープンソースカンファレンス2017 Tokyo/Spring	Vulsで始めよう！DevSecOps！ ＜YouTube＞
↑	↑	Vulsをバズらせるためにやったこと
2017/3/24	Vuls祭り#2	Vuls祭り#2 Keynote
↑	↑	Vuls後のトリアージをウマくやる話
↑	↑	サーバレスでVulsスキャン on AWS
↑	↑	Vulsローカルスキャンモードの活用方法
↑	↑	Vulsで踏み抜いた話
↑	↑	SaaS/OSSを進化させる オープン・エコシステムについて　Mackerel×Vulsの例
↑	↑	Visualize Vuls reports with OMS & PowerBI
↑	↑	IDCFクラウドのVulsテンプレートを作ってみて
↑	↑	Vuls歴半月程度の初心者がVulsをどこまで使いこなせるのか
↑	↑	今すぐVulsにContributeするべき5つの理由
2017/3/25	第47回 脆弱性診断ええんやで(^^) for ルーキーズ	Webサービスのセキュリティ対策 ～ライフサイクルごとの対応～
2017/4/19	[pixiv × MoneyForward] セキュリティー合同勉強会	Vuls使ってみた
2017/4/27	Mackerel Meetup #10 Tokyo #mackerelio	脆弱性スキャナVulsの紹介とMackerelメタデータと連携した脆弱性管理
2017/4/28	第2回すだちくん勉強会	CSIRTを機械化して自動化、これ最強かもしれない（仮）
2017/5/19	第5回 セキュリティ共有勉強会	クラウドセキュリティ＆ローコストセキュリティ
2017/5/27	オープンソースカンファレンス2017 Nagoya	Go製脆弱性スキャナVulsのGithub 1位の秘訣？ ＜togetter＞
2017/8/5	オープンソースカンファレンス2017 Kyoto	Vuls作ってOSS公開したら人生変わった話！
2017/8/19	オープンデベロッパーズカンファレンス2017 Tokyo	GitHubスター日次ランキング一位になった脆弱性スキャナVulsの開発の裏側
2017/8/26	HITCON CMT 2017	Automating vulnerability scanning with Vuls ＜YouTube＞
2017/9/1	OSS活用勉強会 第八回 勉強会	オープンソースで始めるLinuxサーバー脆弱性診断入門
2017/9/11	Open Source Summit / North Ameria	Automating Vulnerability Scanning with Vuls
2017/10/5	ITI Meatup #1	脆弱性検知ツールVulsの導入をしてから半年経ってみて
2017/10/14	鹿児島Linux勉強会 2017.10	ZabbixとVulsをDocker上で連携
2017/10/19	Vuls祭り #3 ＜togetter＞　＜crash.academy＞	Vuls祭り #3 KeyNote
↑	↑	VulsRepoのここが変わった！
↑	↑	vulsの運用tips紹介と欲しい機能
↑	↑	3000台のサーバーを毎日vulsでスキャンしてRedmineでチケット管理した話
↑	↑	サーバレスVulsアーキテクチャ再び
↑	↑	弊社の既存システムをVulsで診断してみた　～診断しかできないVuls環境の作り方～
↑	↑	脆弱性対応でのVulsの役割再確認
2017/12/02	第19回セキュリティさくら	OSSで始める脆弱性管理(仮)

2018年

発表日	発表イベント	タイトル
2018/1/25	ヒカ☆ラボ(SEEDS COMPANY)	CVEチェックのためにvuls導入
2018/2/18	よろずトーク by SECCON YOROZU	Vulsで始める脆弱性チェック
2018/2/23	オープンソースカンファレンス 2018 Tokyo/Spring	まだ脆弱性対応で消耗してるの？Vulsを使った楽してセキュアな運用
2018/2/26	APRICOT2018 APNIC45	Vuls & VulsRepo: A Highly Flexible Vulnerability Scanner and Visualizer ＜YouTube＞
2018/3/7	Deep Security User Night #6	FutureVulsで検知した脆弱性をDeepSecurityで防御！
2018/3/23	MANABIYA LT大会	5分で分かる脆弱性スキャナVulsと無料パスワード管理システムbitwardenについて
2018/3/31	インフラ勉強会	脆弱性スキャナVuls（入門編）
2018/4/15	インフラ勉強会	脆弱性スキャナVuls（応用編）
2018/8/27	Vuls祭り#4	VulsとNIRVANAの連携
↑	↑	Vuls v0.5.0の新機能
↑	↑	Vulsクラウドサービス「Future Vuls」をイチから書き直した話
↑	↑	3分間でvuls scanとreportできるのかチャレンジ!
↑	↑	新機能 "Vuls Server" 〜ワンライナーで始めるパッチマネジメント〜
↑	↑	VulsとOpenVASの違い
↑	↑	LT: Soracom x Vuls
↑	↑	LT: Vuls x CircleCIで実現する継続的Vulnerability Management

メディア系

掲載日	サイト・書籍	タイトル
2016/8/10	ThinkIT	脆弱性検知ツール「Vuls」の開発者に聞いたOSSをバズらせる極意
2016/8/17	JVN	MyJVN API 活用事例 その５
2017/3/16	＠IT	修正適用作業を少しでも楽に、滅びの呪文じゃない支援ツール「Vuls」
2017/5/9	InfoQ	公開されているDockerイメージに対する脆弱性調査の結果がリリースされた
2017/5/30	＠IT	オープンソースの脆弱性スキャナー「Vuls」を作った理由
2017/7/31	The BSD Magazine	Automating Vulnerability Scanning with Vuls
2017/9/16	技術評論社	SoftwareDesign 2017年10月号 第2特集 脆弱性スキャナVuls入門
2017/11/21	ThinkIT	OSSのシステム脆弱性スキャン・検査ツール「OpenVAS」「Vuls」「OpenSCAP」を使ってみよう
2017/12/18	技術評論社	SoftwareDesign 2018年1月号　一般記事 システムのセキュリティ運用をもっと楽に・セキュアに 脆弱性管理サービスFutureVuls登場
2017/12	Packt Publishing	Security Automation with Ansible 2 Page247～254 Chapter 8: Continuous Security Scanning for Docker Containers Vuls – vulnerability scanner
2018/2/24	技術評論社	イラスト図解でよくわかる ITインフラの基礎知識 Page184～185 Chapter 4　情報セキュリティ編 4-13　脆弱性の発生と情報の収集　～どうやって知り、どう向き合うのか
2018/5/26	技術評論社	Software Design総集編【2013～2017】 SoftwareDesign 2017年10月号の再収録
2018/6/11	国立研究開発法人情報通信研究機構(NICT)	脆弱性管理プラットフォーム “NIRVANA改弐” を開発
2018/9/20	＠IT	フューチャー、OSSの「Vuls」と商用版「FutureVuls」をバージョンアップ
2019/02/21	IPA	脆弱性対策の効果的な進め方（ツール活用編）～ 脆弱性検知ツール Vuls を利用した脆弱性対策 ～

企業ブログ

掲載日________	サイト	タイトル
2016/6/1	GFD Engineer's Blog	簡単に脆弱性をスキャンできるイケてるツール「Vuls」を試してみた
2016/6/23	ブロードバンドタワー Tower of Engineers	Vulsを試してみよう
2016/6/27	Skyarch Broadcasting	vulsインストール
2016/7/19	フューチャーアーキテクト開発者ブログ	JANOG38にてVulsの発表を行いました
2016/7/27	クラスメソッド Developers.IO	セキュリティテストツールvulsをインストールしてみた
2016/8/17	grasys	vulsでRPM以外も脆弱性検知
2016/8/24	mediba	Vuls運用トライアル始めました
2016/10/13	ブロードバンドタワー Tower of Engineers	PCI/DSSとVuls
2016/11/4	IDCF Tech-Blog	最近話題のセキュリティスキャナ Vulsと、Vulsのmeetup Vuls祭り Vol.1のご紹介
2017/1/27	システムガーディアン	サーバの脆弱性自動診断ツール「Vuls」で運用管理が楽になる
2017/3/14	IDCF Tech-Blog	コミュニティテンプレート Vuls の利用とTips
2017/4/21	IDCF Tech-Blog	コミュニティテンプレートVulsのアップデートについて
2017/4/27	Oracle's Linux Blog	Announcing Oracle Linux support for Clair and Vuls
2017/5/12	テックブログ by GMOアドパートナーズグループ	脆弱性検知ツール Vulsを試してみる
2017/7/28	IDCF Tech-Blog	OWASP Dependency Checkを、Vulsと連携して表示させる
2017/8/30	ファーエンドテクノロジー	Linuxコンテナお気軽管理（その2）： セキュリティ調査編
2017/9/4	RakSul Tech Blog	脆弱性スキャナ「vuls」を導入 & updateしました
2017/11/10	IDCF Tech-Blog	Vulsの大型アップデート 更新と移行手法
2017/11/29	レコチョク	・Vulsを使った脆弱性チェック運用【セキュリティ対策】 ・Vulsを使った脆弱性チェック運用 [環境構築編]【セキュリティ対策】 ・Vuls動かしてみた【セキュリティ対策】
2018/1/31	NTTPCコミュニケーションズ	巷でナウな脆弱性スキャンツールVulsを試してみた！
2018/5/28	COLSIS	AWS EC2にVulsを導入する
2018/6/26	Lancers	ランサーズで脆弱性スキャナVulsを導入しました!!
2018/6/26	goo	【エンジニアに訊く】脆弱性スキャナ一斉導入から1年経ったけど、その効果は？インフラエンジニアとサービスエンジニアに訊いてみた。
2018/8/27	クラスメソッド	Vuls祭り＃4 に参加してきました
2019/2/18	朝日ネット	脆弱性スキャナ Vuls の紹介と実運用時の工夫