OWASP Dependency-Check
ライブラリã®ã‚¹ã‚ャン
Log4Shellã®é€šç§°ã§æœ‰åã«ãªã£ã¦ã„る脆弱性。
Apacheプãƒã‚¸ã‚§ã‚¯ãƒˆã® Log4jã¨ã„ã†ã‚ªãƒ¼ãƒ—ンソースライブラリã§ã€è‡´å‘½çš„ãªæ¬ 陥ãŒè¦‹ã¤ã‹ã£ãŸã¨å¤§é¨’ãŽã€‚
脆弱性ã®æ·±åˆ»åº¦ã‚’評価ã™ã‚‹CVSSã®ã‚¹ã‚³ã‚¢ã§ã¯ã€æœ€å¤§å€¤ã¨ãªã‚‹10.0(緊急レベル)を記録。
Â
Webアプリケーションを作æˆã™ã‚‹å ´åˆã€ã“ã®ã‚ˆã†ãªå¤–部ã®ãƒ©ã‚¤ãƒ–ラリを使用ã™ã‚‹ã“ã¨ã¯å¤šã„。最新を使用ã—ã¦ãŠã‘ã°é–“é•ã„ãªã„ã®ã§ã—ょã†ãŒã€é–‹ç™ºè€…å´ã‹ã‚‰ã™ã‚‹ã¨ã€ãƒãƒ¼ã‚¸ãƒ§ãƒ³å¤‰æ›´ã«ã‚ˆã‚Šã€ã‚¢ãƒ—リケーションã®ãƒ†ã‚¹ãƒˆãŒå¿…è¦ã«ãªã‚Šã€å¤‰æ›´ã«æ¶ˆæ¥µçš„ã«ãªã‚Šã€æ”¾ç½®ã•ã‚Œã‚„ã™ã„。
OWASP Dependency-Check
OWASP Dependency-Checkを使ã†ã¨ã€ã‚る程度自動ã§ã‚„ã£ã¦ãれる。
ã¨ã„ã†ï¼•ã¤ã®å½¢æ…‹ã§æä¾›ã•ã‚Œã¦ã„る。
以下ã®ãƒ—ラグインもã‚るらã—ã„。
- Jenkins Plugin
- SBT Plugin
- lein-dependency-check
手ã£å–ã‚Šæ—©ãã€Commnad Lineツールを試ã—ã¦ã¿ã‚‹ã€‚
Commnad Line
ã‹ã‚‰Zipファイルをダウンãƒãƒ¼ãƒ‰ã€‚
Windowsã®å ´åˆã€binフォルダã«ã‚ã‚‹ã€dependency-check.batを実行。
ã„ã‚ã„ã‚パラメーターã¯ã‚ã‚‹ãŒã€
-s (スã‚ャンã—ãŸã„フォルダ)
を指定ã™ã‚Œã°ã€ã‚¹ã‚ャンãŒé–‹å§‹ã•ã‚Œã‚‹ã€‚
Â
åˆå›žå®Ÿè¡Œæ™‚ã¯ã€NVDã‹ã‚‰è„†å¼±æ€§æƒ…å ±ã‚’å–å¾—ã™ã‚‹ã€‚
2002å¹´ã‹ã‚‰å–å¾—ã—ã¦ã„ã¾ã™ã€‚
dataフォルダã«nvdcacheã¨ã„ã†ãƒ•ã‚©ãƒ«ãƒ€ãŒã‚ã‚Šã€ãã“ã«å¹´åº¦ã”ã¨ã«ãƒ•ã‚¡ã‚¤ãƒ«ãŒä½œæˆã•ã‚Œã‚‹ã€‚ä¸ã‚’見るã¨ã€JSONå½¢å¼ã§è„†å¼±æ€§æƒ…å ±ãŒåŽé›†ã•ã‚Œã¦ã„る。
データベースã¨ã—ã¦çµåˆã•ã‚Œã¦ã„るよã†ã§ã™ã€‚
1分ã¡ã‚‡ã£ã¨ã§ãƒ¬ãƒãƒ¼ãƒˆãŒå‡ºåŠ›ã•ã‚Œã¾ã™ã€‚
Â
スクリプトを使用ã—ã¦ã€è¦‹ã‚„ã™ã„レãƒãƒ¼ãƒˆã§ã™ã€‚
Â
ãŸã ã€å½é™½æ€§ãƒ»å½é™°æ€§ã¯ã‚るらã—ãã€å®Œå…¨ã§ã¯ãªã„ã€ã¨ã®ã“ã¨ã€‚
Â
ç¾åœ¨ã€Javaã¨.NETã«é–¢ã—ã¦å¯¾å¿œã—ã¦ãŠã‚Šã€å®Ÿé¨“çš„ã«Python, Ruby, PHP (composer),Node.jsã§ã‚‚å¯ã€ã®ã‚ˆã†ã§ã™ã€‚
Â
使用ã—ã¦ã„るライブラリãŒä¸€è¦§ã«ãªã‚‹ã ã‘ã§ã‚‚å分ã«ä¾¡å€¤ã‚’æ„Ÿã˜ã¦ã—ã¾ã†ã€‚
Â
Â
Â
Â
