LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

@witchcraze

脆弱性スキャナの機能評価について考える

Posted at

目的

全てのケースに完全に対応したソリューションが無いことを前提として各スキャナの性能を調査し、比較検討に利用可能な情報をまとめてみる。

背景

プロフェッショナルの人たちが長期間の検討を経た結果、壊滅的なクオリティしかないぽんこつを選定してしまう悲劇を見たため。

参考 :

方法

同一環境でのスキャンを実施し、結果を確認

想定される結果

OK

  • 該当ソフトウェアを正しく検出できる
  • 該当バージョンで未解決の脆弱性を正しく検出できる

準OK

  • 個別のフォローを行えばOKと同じ結果を示せる

NG

  • 該当ソフトウェアを検出できない
  • 該当バージョンで未解決の脆弱性を検出できない (偽陰性)
  • 該当バージョンで解決済みの脆弱性を検出してしまう (偽陽性)

想定される起因

  • 対象環境に対応していない
  • 対象ソフトウェアの導入手法に対応していない
  • 脆弱性DBが提供するデータとのマッチング方法の違い
  • 脆弱性DBが提供するデータの問題
  • Upstream以外のバックポート情報に対応していない
  • 未解決の脆弱性に対する処理方針の違い

評価項目

1. PHPの脆弱性検出能力

  1. Docker Official Image (Debian系)
  2. Docker Official Image (Alpine系)
  3. CentOS7 にphpenvでインストールしたバイナリ
  4. CentOS7 にインストールしたRemi's RPM repositoryパッケージ
  5. CentOS7 にインストールしたOS標準パッケージ
  6. CentOS7 にインストールしたSoftware Collectionsパッケージ
  7. Alma Linux8 にインストールしたAppStreamパッケージ
  8. Alma Linux9 にインストールしたAppStreamパッケージ
  9. Ubuntu 22.04 にインストールしたOS標準パッケージ
  10. Alpine 3.16 にインストールしたOS標準パッケージ

:ok: : 適切な検出
:warning: : 個別のフォローをすれば適切な検出
:x: : 偽陽性または偽陰性の検出

結果 ツールA ツールB
1
2
3
4
5
6
7
8
9
10

2. Pythonの脆弱性検出能力

  1. Docker Official Image (Debian系)
  2. Docker Official Image (Alpine系)
  3. CentOS7 にpyenvでインストールしたバイナリ
  4. CentOS7 にインストールしたOS標準パッケージ
  5. CentOS7 にインストールしたSoftware Collectionsパッケージ
  6. Alma Linux8 にインストールしたOS標準パッケージ
  7. Alma Linux8 にインストールしたAppStreamパッケージ
  8. Alma Linux9 にインストールしたOS標準パッケージ
  9. Alma Linux9 にインストールしたAppStreamパッケージ
  10. Ubuntu 22.04 にインストールしたOS標準パッケージ
  11. Ubuntu 22.04 にインストールしたUniverseパッケージ
  12. Alpine 3.16 にインストールしたOS標準パッケージ

3. JAVA/OpenJDKの脆弱性検出能力

  1. Docker Official Image - Temurin (Debian系)
  2. Docker Official Image - Temurin (Alpine系)
  3. Docker Official Image - Temurin (Debian系)
  4. Docker Official Image - Temurin (Alpine系)
  5. CentOS7 にインストールしたOS標準パッケージ
  6. Alma Linux8 にインストールしたAppStreamパッケージ
  7. Alma Linux9 にインストールしたAppStreamパッケージ
  8. Alma Linux9 にインストールしたOracleJDKバイナリ
  9. Alma Linux9 にインストールしたTemurinパッケージ
  10. Alma Linux9 にインストールしたCorrettoパッケージ
  11. Ubuntu 22.04 にインストールしたOS標準パッケージ
  12. Ubuntu 22.04 にインストールしたOracleJDKバイナリ
  13. Ubuntu 22.04 にインストールしたTemurinパッケージ
  14. Ubuntu 22.04 にインストールしたCorrettoパッケージ
  15. Alpine 3.16 にインストールしたOS標準パッケージ

4. Kernelの脆弱性検出能力

  1. CentOS7 にインストールしたELRepoパッケージ
  2. CentOS7 にインストールしたOS標準パッケージ
  3. Alma Linux8 にインストールしたOS標準パッケージ
  4. Alma Linux9 にインストールしたOS標準パッケージ
  5. Ubuntu 22.04 にインストールしたOS標準パッケージ
  6. Ubuntu 22.04 にインストールしたHWEパッケージ
  7. Ubuntu 22.04 にインストールしたMainlineBuilds

5. XXXX

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?