概要
- 利用している製品のセキュリティ情報(CVE、脆弱性アラート)を自動で監視したいが、手動チェックの負荷の軽減・見落としをなくしたいのでそのための方法を考える
- ここではdependabot alertで取得できる以外の製品を対象とする
きっかけ
2025年8月20日にCVE-2025-9074の脆弱性が報告された。
Docker Desktopで、ローカルで実行されているコンテナが、設定されたDockerサブネットを介してDocker Engine APIにアクセスできてしまうという内容(意図せずDooDのようなことができてしまう)。
Docker公式でアナウンスはあったが、このページにはRSSがなく、忙しさにかまけていると Docker Desktopの更新が遅れてしまう状況にあった。
そこで、こういった状態に気がつけるような監視体制を作りたい。
ちなみに数日後、Docker security announcementsページのRSSが作成された。
監視手法
特にセキュリティ通知となると優先度は高いので、普段使用しているSlackに寄せたい。
特にRSSであれば、 /feed subscribe RSSのURL で特定チャンネルで購読ができ、管理も楽なのでおすすめ。
1. 公式RSSフィード
- 製品の公式セキュリティ情報RSS購読
- SlackのRSSアプリまたは
/feedコマンドでRSSを直接チャンネルに配信可能- コマンド例:
/feed subscribe https://example.com/security.rss - チーム全体での情報共有が自動化
- コマンド例:
- TenableのRSSなどで一括で取得する案もあるが、全てのCVEを拾ってくるのでフィルターをかけないと有効活用できない
2. メール配信
- 製品公式のセキュリティメーリングリスト登録
- Slackチャンネル用メールアドレス活用で直接チャンネルに配信可能(プロプランおよびビジネスプラスプラン)
3. GitHubの監視
a. リリースのRSS
- GitHub上でリリース情報が管理されている場合
- リリースのAtomフィードを活用
- URL形式:
https://github.com/{org}/{repo}/releases.atom
例えばLaravelはリリースコメントが簡潔なので嬉しい。
b. ドキュメントのRSS
- GitHub上でセキュリティドキュメントが管理されている場合
- 特定ファイルの変更履歴Atomフィードを活用
- URL形式:
https://github.com/{org}/{repo}/commits/main/{filepath}.atom
例えばDockerのドキュメントはGitHub管理されている。
そういった場合は以下のURLでRSS購読が可能になる。
4. ページ変更監視
- RSS未提供の公式セキュリティページを監視
- セキュリティドキュメントページのURL直接監視
- スキャン頻度が高くならないように注意(Librahack事件のようなことになるので)