Submit Search
Upload
セキュリティ関連OSSツール紹介
•
Download as PPTX, PDF
•
0 likes
•
293 views
kataware
Follow
OSSのツールは多い。 ロゴや名前だけではどんな機能を持つか不明なケースもある。 少ないが少し調べてみた。
Read less
Read more
Engineering
Report
Share
Report
Share
1 of 22
Download now
Recommended
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
abend_cve_9999_0001
とある診断員とAWS
とある診断員とAWS
zaki4649
最近のやられアプリを試してみた
最近のやられアプリを試してみた
zaki4649
130821 owasp zed attack proxyをぶん回せ
130821 owasp zed attack proxyをぶん回せ
Minoru Sakai
脆弱性検査ツールってどうよ
脆弱性検査ツールってどうよ
Masakazu Ikeda
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
Muneaki Nishimura
Let's verify the vulnerability-脆弱性を検証してみよう!-
Let's verify the vulnerability-脆弱性を検証してみよう!-
zaki4649
フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!
zaki4649
Recommended
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
abend_cve_9999_0001
とある診断員とAWS
とある診断員とAWS
zaki4649
最近のやられアプリを試してみた
最近のやられアプリを試してみた
zaki4649
130821 owasp zed attack proxyをぶん回せ
130821 owasp zed attack proxyをぶん回せ
Minoru Sakai
脆弱性検査ツールってどうよ
脆弱性検査ツールってどうよ
Masakazu Ikeda
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
Muneaki Nishimura
Let's verify the vulnerability-脆弱性を検証してみよう!-
Let's verify the vulnerability-脆弱性を検証してみよう!-
zaki4649
フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!
zaki4649
flaws.cloudに挑戦しよう!
flaws.cloudに挑戦しよう!
zaki4649
フリーでできるセキュリティチェック OpenVAS CLI編
フリーでできるセキュリティチェック OpenVAS CLI編
abend_cve_9999_0001
Not CVE-2013-xxxx
Not CVE-2013-xxxx
abend_cve_9999_0001
インストールマニアックスでOSSの脆弱性をたくさん見つけたよ
インストールマニアックスでOSSの脆弱性をたくさん見つけたよ
Yuji Kazan
Proxy War EPISODEⅡ
Proxy War EPISODEⅡ
zaki4649
Proxy War
Proxy War
zaki4649
Vulsで始めよう!DevSecOps!
Vulsで始めよう!DevSecOps!
Takayuki Ushida
ノリとその場の勢いでPocを作った話
ノリとその場の勢いでPocを作った話
zaki4649
フリーでできるWebセキュリティ(burp編)
フリーでできるWebセキュリティ(burp編)
abend_cve_9999_0001
最近のBurp Suiteについて調べてみた
最近のBurp Suiteについて調べてみた
zaki4649
XSSの評価基準とRIPSプラグイン的なものを作った
XSSの評価基準とRIPSプラグイン的なものを作った
yamaguchi_2048
自動テスト知識体系TABOKのご紹介
自動テスト知識体系TABOKのご紹介
Shinsuke Matsuki
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
Masaya Tahara
ICSE2014参加報告 (SE勉強会 6/12)
ICSE2014参加報告 (SE勉強会 6/12)
Kazunori Sakamoto
UShareSoft_20130425
UShareSoft_20130425
Satoru Watanabe
UShareSoft_20130425
UShareSoft_20130425
Satoru Watanabe
リスクを低減するためのクラウド型OSS管理ツールOpenLogic および Zend PHP
リスクを低減するためのクラウド型OSS管理ツールOpenLogic および Zend PHP
RWSJapan
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)
Sen Ueno
失敗しない!Androidアプリ開発最前線!
失敗しない!Androidアプリ開発最前線!
Masahiro Hidaka
Out systemsaichiusermeeting#5 lt2
Out systemsaichiusermeeting#5 lt2
潤司 渡部
Tokyo Jazug Night 2020-01 Azure Monitor を使った運用監視コトハジメ
Tokyo Jazug Night 2020-01 Azure Monitor を使った運用監視コトハジメ
Tsubasa Yoshino
よりよい開発を目指すための、プロセス&ツール活用
よりよい開発を目指すための、プロセス&ツール活用
Kaoru NAKAMURA
More Related Content
What's hot
flaws.cloudに挑戦しよう!
flaws.cloudに挑戦しよう!
zaki4649
フリーでできるセキュリティチェック OpenVAS CLI編
フリーでできるセキュリティチェック OpenVAS CLI編
abend_cve_9999_0001
Not CVE-2013-xxxx
Not CVE-2013-xxxx
abend_cve_9999_0001
インストールマニアックスでOSSの脆弱性をたくさん見つけたよ
インストールマニアックスでOSSの脆弱性をたくさん見つけたよ
Yuji Kazan
Proxy War EPISODEⅡ
Proxy War EPISODEⅡ
zaki4649
Proxy War
Proxy War
zaki4649
Vulsで始めよう!DevSecOps!
Vulsで始めよう!DevSecOps!
Takayuki Ushida
ノリとその場の勢いでPocを作った話
ノリとその場の勢いでPocを作った話
zaki4649
フリーでできるWebセキュリティ(burp編)
フリーでできるWebセキュリティ(burp編)
abend_cve_9999_0001
最近のBurp Suiteについて調べてみた
最近のBurp Suiteについて調べてみた
zaki4649
XSSの評価基準とRIPSプラグイン的なものを作った
XSSの評価基準とRIPSプラグイン的なものを作った
yamaguchi_2048
What's hot
(11)
flaws.cloudに挑戦しよう!
flaws.cloudに挑戦しよう!
フリーでできるセキュリティチェック OpenVAS CLI編
フリーでできるセキュリティチェック OpenVAS CLI編
Not CVE-2013-xxxx
Not CVE-2013-xxxx
インストールマニアックスでOSSの脆弱性をたくさん見つけたよ
インストールマニアックスでOSSの脆弱性をたくさん見つけたよ
Proxy War EPISODEⅡ
Proxy War EPISODEⅡ
Proxy War
Proxy War
Vulsで始めよう!DevSecOps!
Vulsで始めよう!DevSecOps!
ノリとその場の勢いでPocを作った話
ノリとその場の勢いでPocを作った話
フリーでできるWebセキュリティ(burp編)
フリーでできるWebセキュリティ(burp編)
最近のBurp Suiteについて調べてみた
最近のBurp Suiteについて調べてみた
XSSの評価基準とRIPSプラグイン的なものを作った
XSSの評価基準とRIPSプラグイン的なものを作った
Similar to セキュリティ関連OSSツール紹介
自動テスト知識体系TABOKのご紹介
自動テスト知識体系TABOKのご紹介
Shinsuke Matsuki
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
Masaya Tahara
ICSE2014参加報告 (SE勉強会 6/12)
ICSE2014参加報告 (SE勉強会 6/12)
Kazunori Sakamoto
UShareSoft_20130425
UShareSoft_20130425
Satoru Watanabe
UShareSoft_20130425
UShareSoft_20130425
Satoru Watanabe
リスクを低減するためのクラウド型OSS管理ツールOpenLogic および Zend PHP
リスクを低減するためのクラウド型OSS管理ツールOpenLogic および Zend PHP
RWSJapan
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)
Sen Ueno
失敗しない!Androidアプリ開発最前線!
失敗しない!Androidアプリ開発最前線!
Masahiro Hidaka
Out systemsaichiusermeeting#5 lt2
Out systemsaichiusermeeting#5 lt2
潤司 渡部
Tokyo Jazug Night 2020-01 Azure Monitor を使った運用監視コトハジメ
Tokyo Jazug Night 2020-01 Azure Monitor を使った運用監視コトハジメ
Tsubasa Yoshino
よりよい開発を目指すための、プロセス&ツール活用
よりよい開発を目指すための、プロセス&ツール活用
Kaoru NAKAMURA
Kobe sec#7 summary
Kobe sec#7 summary
Yukio NAGAO
Sophos UTM 9のAutoscalingを試してみた
Sophos UTM 9のAutoscalingを試してみた
morisshi
オープンソースを用いたドローンの自律制御ソフトウェア技術
オープンソースを用いたドローンの自律制御ソフトウェア技術
Masayuki Isobe
OSC2018 hiroshima session slide by OSSC
OSC2018 hiroshima session slide by OSSC
Daisuke Nishino
30分で分かる!OSの作り方 ver.2
30分で分かる!OSの作り方 ver.2
uchan_nos
Adobe scoutの紹介
Adobe scoutの紹介
AimingStudy
ライブコーディングとデモで理解するWebセキュリティの基礎
ライブコーディングとデモで理解するWebセキュリティの基礎
Takahisa Kishiya
『これからの.NETアプリケーション開発』セミナー .NET用アプリケーション フレームワーク Open 棟梁 概説
『これからの.NETアプリケーション開発』セミナー .NET用アプリケーション フレームワーク Open 棟梁 概説
Daisuke Nishino
[デブサミ2012]趣味と実益の脆弱性発見
[デブサミ2012]趣味と実益の脆弱性発見
Yosuke HASEGAWA
Similar to セキュリティ関連OSSツール紹介
(20)
自動テスト知識体系TABOKのご紹介
自動テスト知識体系TABOKのご紹介
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
ICSE2014参加報告 (SE勉強会 6/12)
ICSE2014参加報告 (SE勉強会 6/12)
UShareSoft_20130425
UShareSoft_20130425
UShareSoft_20130425
UShareSoft_20130425
リスクを低減するためのクラウド型OSS管理ツールOpenLogic および Zend PHP
リスクを低減するためのクラウド型OSS管理ツールOpenLogic および Zend PHP
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)
失敗しない!Androidアプリ開発最前線!
失敗しない!Androidアプリ開発最前線!
Out systemsaichiusermeeting#5 lt2
Out systemsaichiusermeeting#5 lt2
Tokyo Jazug Night 2020-01 Azure Monitor を使った運用監視コトハジメ
Tokyo Jazug Night 2020-01 Azure Monitor を使った運用監視コトハジメ
よりよい開発を目指すための、プロセス&ツール活用
よりよい開発を目指すための、プロセス&ツール活用
Kobe sec#7 summary
Kobe sec#7 summary
Sophos UTM 9のAutoscalingを試してみた
Sophos UTM 9のAutoscalingを試してみた
オープンソースを用いたドローンの自律制御ソフトウェア技術
オープンソースを用いたドローンの自律制御ソフトウェア技術
OSC2018 hiroshima session slide by OSSC
OSC2018 hiroshima session slide by OSSC
30分で分かる!OSの作り方 ver.2
30分で分かる!OSの作り方 ver.2
Adobe scoutの紹介
Adobe scoutの紹介
ライブコーディングとデモで理解するWebセキュリティの基礎
ライブコーディングとデモで理解するWebセキュリティの基礎
『これからの.NETアプリケーション開発』セミナー .NET用アプリケーション フレームワーク Open 棟梁 概説
『これからの.NETアプリケーション開発』セミナー .NET用アプリケーション フレームワーク Open 棟梁 概説
[デブサミ2012]趣味と実益の脆弱性発見
[デブサミ2012]趣味と実益の脆弱性発見
More from kataware
コンパイラ(Lexとyaccを使う)
コンパイラ(Lexとyaccを使う)
kataware
名古屋セキュリティ勉強会LT~学内CTFの話~
名古屋セキュリティ勉強会LT~学内CTFの話~
kataware
Isolation forest
Isolation forest
kataware
git入門(講義っぽく)
git入門(講義っぽく)
kataware
0511 lt
0511 lt
kataware
Abc#004d
Abc#004d
kataware
More from kataware
(6)
コンパイラ(Lexとyaccを使う)
コンパイラ(Lexとyaccを使う)
名古屋セキュリティ勉強会LT~学内CTFの話~
名古屋セキュリティ勉強会LT~学内CTFの話~
Isolation forest
Isolation forest
git入門(講義っぽく)
git入門(講義っぽく)
0511 lt
0511 lt
Abc#004d
Abc#004d
セキュリティ関連OSSツール紹介
1.
セキュリティ関連OSSツール紹介 @_ktwr 1
2.
動機 • OSSツールは様々なものがあるが、発表ではスペー スも限られるため、ロゴでそのツールを表現するこ とがある • ロゴだけではどんなツールなのか、名称すらわから ないとたどり着くのが難しい •
今回はロゴ含めセキュリティ関連のOSSツールを調 査した結果を集める • 注意:利用はしていないのでWebベースの調査であ ることを念頭に置いて見てください ※間違った内容等あれば連絡いただけると幸いです 2
3.
OSSセキュリティツールカテゴリ 1. Threat Modeling
Tool(TMT) 2. Pre-Commit Hooks 3. Software Composition Analysis 4. Static Analysis Security Testing 3
4.
1.1 OWASP Threat
Dragon • OWASPが開発している OSSのThred Modelingツール • 自動で脅威と軽減方を生成するルール エンジン搭載 • アプリケーション形式 • Erectronベースのデスクトップアプリ • Webベースのアプリケーション • 参照リンク • https://www.owasp.org/index.php/OWASP_Threat_D ragon • https://github.com/mike-goodwin/owasp-threat- dragon 4
5.
1.2 threatspec • OSSのThret
Modeling Tool • 開発とセキュリティのギャップを埋める目的で開発 • コードにコメントをつけ、threatspecを動作させる ことにより、レポートを生成 • レポートはダイアグラムとして表示可能 • 参照リンク • https://threatspec.org/ 5
6.
1.3 Threat Playbook •
we45が開発するコードを基に Threat Modelingをするツール • Palybookはyaml形式で記述 • Threat Modelにはユーザストーリー、攻撃者のス トーリー、脅威のストーリーが含まれる • エンジニアやペンテスト向けのツール • 参照リンク • https://we45.gitbook.io/threatplaybook/ • https://www.slideshare.net/abhaybhargav/threatmod elingascode-threatplaybook-appsecusa-2018- presentation 6
7.
1.4 Microsoft Threat
Modeling Tool • Microsoftが開発するThreat Modeling Tool • セキュリティ設計や潜在的な問題及び軽減策の提 案・管理を行う • 主な機能 • 自動化 • 要素ごとのSTRIDE • レポート • 独自の方法論 • 開発者向けの設計とソフトウェア重視 • 設計分析を重視 • https://docs.microsoft.com/ja- jp/azure/security/develop/threat-modeling-tool 7
8.
2.1 Talisman • コミット時にフックして機密情報等が リポジトリに反映されないようにする •
Mac, Linux, Windowsをサポート • Sshキーや認証トークンなどの疑わしいものを検知 • 参照リンク • https://github.com/thoughtworks/talisman#talisman • https://dev.classmethod.jp/etc/talisman/ 8
9.
2.2 pre-commit • Pre-commitのフックスクリプトを管理 してくれるフレームワーク •
機能はpre-commitのフックスクリプトに依存 • 開発自体はpythonだがpython以外の言語に対しての hookスクリプトも管理可能 • 参照リンク • https://pre-commit.com/ • https://github.com/pre-commit/pre-commit 9
10.
2.3 git-secret • データベースのパスワード、アプリケーションの シークレットキー等を守るためのツール •
ファイルを暗号化しgitリポジトリ内に保存する • 注:git-secretsとは別物 • 参照リンク • https://github.com/sobolevn/git-secret • https://git-secret.io/ 10
11.
2.3 truffleHog • gitリポジトリの中から秘密情報をコミットログ、ブ ランチをまたがって探すツール •
正規表現によるチェックとエントロピーによる チェックがある • 参照リンク • https://github.com/dxa4481/truffleHog 11
12.
2.4 Git Hound •
Gitのプラグインで機密なデータがコミットされない ように防いでくれるツール • PCRE形式の正規表現で行う • リポジトリに追加、修正されたファイルが対象とな る • 参照リンク • https://github.com/ezekg/git-hound 12
13.
3.1 DEPENDENCY-CHECK • OWASPが開発しているOSSの脆弱性スキャンツール •
OWASP Top 10 A9基地の脆弱性のあるコンポーネン トの使用を解決するツール • 脆弱性スキャンが可能なのはJavaと.NET • 実験的にpython,nodejs,ruby,PHP(composer)が可能 • 参照リンク • https://jeremylong.github.io/DependencyCheck/ • https://github.com/jeremylong/DependencyCheck 13
14.
3.2 Requires.io • プロジェクト内のrequirements.txt等を監視し 古くなった際に通知してくれるツール •
通知方法はBadge, Email, Pull Request • 監視するファイルはrequires.ioツールが可能なもの • requirements/*.txt, setup.py tox.ini Pipfile等 • 参照リンク • https://requires.io/ 14
15.
3.3 Retire.js • 脆弱性のあるJSライブラリを検知するツール •
様々な形式で提供 • CLIスキャナー,Gruntプラグイン, Chrom Extension Burp, OWASP Zap plugin • 対応可能なJavaScriptは様々 • Ex) Angular.js, bootstrap, dojo, jquery等 • 参照リンク • https://retirejs.github.io/retire.js/ 15
16.
4.1 Bandit • Pythonコード共通のセキュリティの問題を見つける ためのツール •
すべてのファイルをスキャン後レポートを作成 • 参照リンク • https://github.com/PyCQA/bandit 16
17.
4.2 Find Security
Bugs • 131種の脆弱性パターンを検知可能 • Jenkinsを絡めて活用することも可能 • Struts, Springなどの有名なフレームワークもカバー • 参照リンク • https://find-sec-bugs.github.io/ 17
18.
4.3 BRAKEMAN • Ruby
on Railsアプリケーションの脆弱性 をチェックする静的解析ツール • High, Medium, Weakの複雑レベルを選択 • 参照リンク • https://github.com/presidentbeef/brakeman 18
19.
4.4 RIPS • 静的PHPソースコード脆弱性検知ツール •
RIPS0.5は2013年で開発が止まっている。 • RIPSはRIPSTECHという商用になり進んでいる。 • 参照リンク • http://rips-scanner.sourceforge.net/#about 19
20.
4.5 SonarQube • コードの信頼性、アプリの脆弱性、技術的負債を 解決するため静的解析ツール •
25以上の言語をサポート • 参照リンク • https://www.sonarqube.org/ 20
21.
4.6 PMD • ソースコード解析機能(メインはJava)と コピーペースト検知機能がある •
ソースコード解析はJava, JavaScript等をサポート • コピペ検知はJava, C, C++等ソースコード解析機能 よりも多い言語をサポート • 参照リンク • https://pmd.github.io/ 21
22.
終わりに • まだツールはあるがいったんの調査をあげる。 • がんばりたい 22
Download now