OSSのツールは多い。 ロゴや名前だけではどんな機能を持つか不明なケースもある。 少ないが少し調べてみた。

1. セキュリティ関連OSSツール紹介
@_ktwr
1

2. 動機
• OSSツールは様々なものがあるが、発表ではスペー
スも限られるため、ロゴでそのツールを表現するこ
とがある
• ロゴだけではどんなツールなのか、名称すらわから
ないとたどり着くのが難しい
• 今回はロゴ含めセキュリティ関連のOSSツールを調
査した結果を集める
• 注意：利用はしていないのでWebベースの調査であ
ることを念頭に置いて見てください
※間違った内容等あれば連絡いただけると幸いです
2

3. OSSセキュリティツールカテゴリ
1. Threat Modeling Tool(TMT)
2. Pre-Commit Hooks
3. Software Composition Analysis
4. Static Analysis Security Testing
3

4. 1.1 OWASP Threat Dragon
• OWASPが開発している
OSSのThred Modelingツール
• 自動で脅威と軽減方を生成するルール
エンジン搭載
• アプリケーション形式
• Erectronベースのデスクトップアプリ
• Webベースのアプリケーション
• 参照リンク
• https://www.owasp.org/index.php/OWASP_Threat_D
ragon
• https://github.com/mike-goodwin/owasp-threat-
dragon
4

5. 1.2 threatspec
• OSSのThret Modeling Tool
• 開発とセキュリティのギャップを埋める目的で開発
• コードにコメントをつけ、threatspecを動作させる
ことにより、レポートを生成
• レポートはダイアグラムとして表示可能
• 参照リンク
• https://threatspec.org/
5

6. 1.3 Threat Playbook
• we45が開発するコードを基に
Threat Modelingをするツール
• Palybookはyaml形式で記述
• Threat Modelにはユーザストーリー、攻撃者のス
トーリー、脅威のストーリーが含まれる
• エンジニアやペンテスト向けのツール
• 参照リンク
• https://we45.gitbook.io/threatplaybook/
• https://www.slideshare.net/abhaybhargav/threatmod
elingascode-threatplaybook-appsecusa-2018-
presentation
6

7. 1.4 Microsoft Threat Modeling Tool
• Microsoftが開発するThreat Modeling Tool
• セキュリティ設計や潜在的な問題及び軽減策の提
案・管理を行う
• 主な機能
• 自動化
• 要素ごとのSTRIDE
• レポート
• 独自の方法論
• 開発者向けの設計とソフトウェア重視
• 設計分析を重視
• https://docs.microsoft.com/ja-
jp/azure/security/develop/threat-modeling-tool
7

8. 2.1 Talisman
• コミット時にフックして機密情報等が
リポジトリに反映されないようにする
• Mac, Linux, Windowsをサポート
• Sshキーや認証トークンなどの疑わしいものを検知
• 参照リンク
• https://github.com/thoughtworks/talisman#talisman
• https://dev.classmethod.jp/etc/talisman/
8

9. 2.2 pre-commit
• Pre-commitのフックスクリプトを管理
してくれるフレームワーク
• 機能はpre-commitのフックスクリプトに依存
• 開発自体はpythonだがpython以外の言語に対しての
hookスクリプトも管理可能
• 参照リンク
• https://pre-commit.com/
• https://github.com/pre-commit/pre-commit
9

10. 2.3 git-secret
• データベースのパスワード、アプリケーションの
シークレットキー等を守るためのツール
• ファイルを暗号化しgitリポジトリ内に保存する
• 注：git-secretsとは別物
• 参照リンク
• https://github.com/sobolevn/git-secret
• https://git-secret.io/
10

11. 2.3 truffleHog
• gitリポジトリの中から秘密情報をコミットログ、ブ
ランチをまたがって探すツール
• 正規表現によるチェックとエントロピーによる
チェックがある
• 参照リンク
• https://github.com/dxa4481/truffleHog
11

12. 2.4 Git Hound
• Gitのプラグインで機密なデータがコミットされない
ように防いでくれるツール
• PCRE形式の正規表現で行う
• リポジトリに追加、修正されたファイルが対象とな
る
• 参照リンク
• https://github.com/ezekg/git-hound
12

13. 3.1 DEPENDENCY-CHECK
• OWASPが開発しているOSSの脆弱性スキャンツール
• OWASP Top 10 A9基地の脆弱性のあるコンポーネン
トの使用を解決するツール
• 脆弱性スキャンが可能なのはJavaと.NET
• 実験的にpython,nodejs,ruby,PHP(composer)が可能
• 参照リンク
• https://jeremylong.github.io/DependencyCheck/
• https://github.com/jeremylong/DependencyCheck
13

14. 3.2 Requires.io
• プロジェクト内のrequirements.txt等を監視し
古くなった際に通知してくれるツール
• 通知方法はBadge, Email, Pull Request
• 監視するファイルはrequires.ioツールが可能なもの
• requirements/*.txt, setup.py tox.ini Pipfile等
• 参照リンク
• https://requires.io/
14

15. 3.3 Retire.js
• 脆弱性のあるJSライブラリを検知するツール
• 様々な形式で提供
• CLIスキャナー,Gruntプラグイン, Chrom Extension
Burp, OWASP Zap plugin
• 対応可能なJavaScriptは様々
• Ex) Angular.js, bootstrap, dojo, jquery等
• 参照リンク
• https://retirejs.github.io/retire.js/
15

16. 4.1 Bandit
• Pythonコード共通のセキュリティの問題を見つける
ためのツール
• すべてのファイルをスキャン後レポートを作成
• 参照リンク
• https://github.com/PyCQA/bandit
16

17. 4.2 Find Security Bugs
• 131種の脆弱性パターンを検知可能
• Jenkinsを絡めて活用することも可能
• Struts, Springなどの有名なフレームワークもカバー
• 参照リンク
• https://find-sec-bugs.github.io/
17

18. 4.3 BRAKEMAN
• Ruby on Railsアプリケーションの脆弱性
をチェックする静的解析ツール
• High, Medium, Weakの複雑レベルを選択
• 参照リンク
• https://github.com/presidentbeef/brakeman
18

19. 4.4 RIPS
• 静的PHPソースコード脆弱性検知ツール
• RIPS0.5は2013年で開発が止まっている。
• RIPSはRIPSTECHという商用になり進んでいる。
• 参照リンク
• http://rips-scanner.sourceforge.net/#about
19

20. 4.5 SonarQube
• コードの信頼性、アプリの脆弱性、技術的負債を
解決するため静的解析ツール
• 25以上の言語をサポート
• 参照リンク
• https://www.sonarqube.org/
20

21. 4.6 PMD
• ソースコード解析機能(メインはJava)と
コピーペースト検知機能がある
• ソースコード解析はJava, JavaScript等をサポート
• コピペ検知はJava, C, C++等ソースコード解析機能
よりも多い言語をサポート
• 参照リンク
• https://pmd.github.io/
21

22. 終わりに
• まだツールはあるがいったんの調査をあげる。
• がんばりたい
22