[toc]
常日頃から脆弱性スキャナVulsには大変お世話になっていることから、Vulsの勉強会 Vuls祭り #3 に行ってきました。
会場は DMM.com さんのセミナールームでした。めっちゃ広くてきれい!100人以上は余裕で入れる広さです。写真撮り忘れましたが、お酒とピザと寿司が出てめっちゃうまま!でした。
色んな方が発表されていたのですが、メモを何も取っていないので覚えている範囲で書き残していきます(いつも勉強会ではメモを残すのに話に夢中になって何も残していない)。
基調講演
Vuls作者である神戸さん(@kotakanbe)による基調講演ではマインドマップを見ながらVulsの歴史や海外の講演話、Software Designに載った話、v0.4.0 のアップデート、コミュニティ参加(Slack、PR)について話されていました。Software Design は2冊買って、1冊はジップロックに入れて冷凍保存だそうですw
OSS貢献についてはtypoでもいいからPR投げるといいみたいですよ!
VulsRepoアップデートについて
可視化ツール VulsRepo の作者 @usiusi360 さんによるVulsRepoの最新アップデートについてでした。
資料: https://qiita.com/usiusi360/items/abe49b2e8fcb4e222718
Vuls v0.4.0 に合わせてアップデートされて事前に触っていたのですが、NVDやJVNのCVSSスコアをレーダーチャートで図示したり、ApacheなどWebサーバなしで起動できるようになっていたりと、すごく使いやすさが向上していました。
配色については外国人から目が潰れると酷評されたらしく凹みながらも修正されたそうです。
vulsの運用tips紹介と機能要望
Raksulの渡邉さん
AWSを使われていて、CentOS7、Amazon Linux、Ubuntuを使われているということで自分の部署の環境と近いなぁと思っていました。Jenkinsのパイプラインでgo-cve-dictionaryやgoval-dictionaryを毎日実行、VulsのGitリポジトリに更新を見に行って更新があれば、Chefで自前ビルドしていつでも最新Vulsを使えるようにしておくのは真似したいですね。
勉強会終了後にすこしだけお話させていただいたのですが、アップデートした際に1件だけアプリ側で問題があったけど、すぐにアプリ側を改修して対応したということでした。
大規模環境でのVuls運用
NTTティレゾナント株式会社 rie-wさん 3,000台のサーバを毎日VulsスキャンしてRedmineにチケット起票したお話でした。v0.3.0使っているのと、リポジトリ状況を見ながらなので、全台スキャンすると2〜3日かかるとのこと。それを15台並列稼働して3〜4時間で終わらせるようにしているとのことでかなりの力業が垣間見えました。また差分通知をVulsのオプションではなく自前で実装されていたり、JSONをパースしてDBに突っ込んだりとかなりカスタマイズされて運用しているようでした。質問の盛り上がりを見るに、参加者の方々は運用にかなり関心が高いようでした。
Vuls五人衆による座談会
Slackの#vulsjpやVulsユーザ会を盛り上げてくださっているVuls五人衆による座談会(?)でした。
一つ目のテーマが「CVSSスコアをちゃんと見てるのか」で「CVSSスコアを見ないですぐにアップデートする」 or 「すぐになんてアップデートできないよコノヤロー」で意見が分かれました。後者は特に医療や金融系だと脆弱性が出たとしてもいろいろ申請やお金とか人員など調整があって大変そうです・・・私の場合はWebサービスなので(本当は駄目だけど)、落ちても深刻な被害は出ないので前者寄りの考えです(でもパッチ当てるのはなかなか辛い)。
二つ目のテーマが「Vulsのエコシステム」について。Vulsのすごいところは脆弱性を検知できるだけではなくて、そのサーバのパッケージを全部見て何が入っているのかも含めて可視化できたり、go-cve-dictionaryで脆弱性情報をDBに突っ込むことでそれを別ツールで可視化するなり解析するなり色々応用ができやすいという話でした。私はVulsを今まで単なる脆弱性スキャナでしか捉えていなかったので、そういう側面での考えがあるのかととても関心して話を聞いていました。
座談会はとてもおもしろかったのですが、議論が白熱しすぎてて会場が静まりかえったときもあるぐらい、セキュリティ界隈や医療・金融系はとても怖いなぁと思いました(小並感)。
SaaS版Vuls
最後のLTで、SaaS版Vulsについての発表がありました。
脆弱性のトリアージや履歴管理、対応状況の可視化など欲しかった機能が提供されています。ベータ版が11月から提供開始とのことなので使ってみたいですね。
LTやりました
前回、AWSにおいてサーバレスでVulsスキャンした話をしたのですが、今回はCloudFormationテンプレートを公開した話です。
https://speakerdeck.com/ohsawa0515/serverless-vuls-again
CloudFormationテンプレートはこちら↓ https://github.com/ohsawa0515/serverless-vuls
構成などは別途記事に書こうと思いますが、ぜひ試していただければと思います。自分の環境では(!)動いたので、もし動かなければissueやPRを投げてもらえればと思います。
実は第一回目から毎回発表させていただいているのですが、Vuls祭りに参加される方々ってLTも真剣に聞いてくれます。大抵の勉強会って懇親会の途中にLTをやったりするので聞いていなかったりすることが多いのですが、Vuls祭りだとめっちゃ静かにLTを聞いてくれるので毎回緊張して発表していますw
最後に
Vuls祭りを主催していただいているVulsユーザ会の皆様、楽しい勉強会をありがとうございました。