オープンソースソフトウェア(OSS)を使用することには、ベンダーロックインの排除、使用コストの低さ、ソースコードの柔軟性など、多くの利点があります。 これらの利点が理由を説明している可能性があります エンタープライズアプリの96% どちらかの形式のオープンソースコンポーネントを持っている。 ただし、正当なユーザーとサイバー犯罪者の両方がOSSコードに簡単にアクセスして再利用できるため、脆弱性を事前に特定して解決することが重要になるため、セキュリティがOSSの潜在的な欠点です。
セキュリティチームは、オープンソースの脆弱性スキャンツールを採用することで脆弱性に対処できます。 これらは無料で、さまざまな機能を提供しているため、最適なソリューションを選択する際にベンチマークするためのコア機能など、上位のおすすめの包括的な概要をお読みください。
AWS Vulnerability Management Best Practices [Cheat Sheet]
This 8-page cheat sheet breaks down the critical steps to fortifying your AWS security posture. From asset discovery and agentless scanning to risk-based prioritization and patch management, it covers the essential strategies needed to safeguard your AWS workloads.
Download Cheat SheetOSS脆弱性管理:簡単な復習
オープンソースソフトウェアの脆弱性とは、オープンソースのライブラリやフレームワークのコードベース内にある悪用可能なセキュリティギャップや欠陥のことで、古いソフトウェア、偽造ソフトウェアやアップデート、設定ミスなどです。 オープンソースソフトウェアの脆弱性管理とは、専用の自動化されたツールを使用して、OSSコードの脆弱性を継続的にスキャンすることです。
OSSの脆弱性管理ツールは、データ侵害や損失につながる前に脆弱性をプロアクティブに特定して解決することで、組織の攻撃対象領域を縮小することを目指しています。 これらのツールがないと、オープンソースのソフトウェアコンポーネント、依存関係、および関連する脆弱性の可視性が低いため、脆弱性を迅速に検出するのが難しくなる可能性があります。
すべてのOSSの脆弱性と対応する更新を手動で追跡することは、面倒で非効率的な作業になる可能性があります。 幸いなことに、多数の自動化 オープンソースの脆弱性スキャナー が開発されました。 以下では、脆弱性管理ソリューションを選択する際に考慮すべき主な機能について説明します。
動的なアセット検出
企業のITインフラストラクチャが複雑化するにつれ、エンジニアリングチームは、ソフトウェアに含まれるオープンソースコードやコードを構成するためのセキュリティのベストプラクティスについて十分な知識がないまま、ソフトウェアを採用する可能性がますます高まっています。
そのため、脆弱性管理ツールは、アプリ、VM、コンテナ、コンテナイメージ、データベースなど、すべてのソフトウェア資産とそのオープンソースコンポーネントを自動的に検出し、インベントリ化できる必要があります。
SCAとSBOMの統合
脆弱性評価には、 ソフトウェア・コンポジション解析(SCA) と ソフトウェア部品表 (SBOM)は、ソフトウェア開発ライフサイクル (SDLC) にセキュリティを組み込むことで、脆弱性の検出を迅速化します。
SCAを使用すると、DevSecOpsチームはオープンソースソフトウェアコンポーネントを項目化し、ソースコードとバイナリの脆弱性を調査し、ライセンスコンプライアンス情報を確認できます。 また、SBOMを使用して、アプリのサードパーティの依存関係、バージョン番号、リリース日、ライセンスなどを追跡し、パッチ適用が必要なコンポーネントを簡単に特定することもできます。
迅速かつ正確な脆弱性検出
プロアクティブな脆弱性検出のために、スタック全体を迅速、包括的、かつ継続的にスキャンできるツールを探してください。 エージェントレススキャンは、高速でリソース効率が高いため、便利です。
さらに、脆弱性の検出は正確でなければなりません。誤検知/偽陰性が少なければ少ないほど良いので、問題がないときにアラームを発したり、実際に脆弱性が存在するときに健康状態をきちんと確認したりするツールは望ましくありません。
リスクベースの優先順位付け
一部の脆弱性は悪用される可能性が低いか、悪用されたとしても影響がほとんどありません。 最適なツールは、特定のビジネスのコンテキストにおける脆弱性のリスクレベルを理解するツールです。 したがって、特定された脆弱性を(たとえば、全体的なリスクスコア/プロファイルに基づいて)ランク付けし、DevSecOpsエンジニアが脆弱性によってもたらされるリスクと利用可能なリソースとのバランスを取るのを支援する必要があります。
修復とアラート
たとえ小さな脅威であっても、チームを日常業務から常に遠ざけることは望ましくありません。 パッチを通じて脆弱性を自動的に解決するソリューションを選択するか、脆弱性を自動的に解決できない場合は、セキュリティエンジニアにリアルタイムで警告し、実行可能な推奨事項を提供するソリューションを選択してください。
互換性
互換性は、OSS ツールで問題になる場合があります。 一部のオープンソースの脆弱性スキャナーは、特定のプログラミング言語(Govulncheckなど)またはOS(Linux環境のVulsやLynisなど)向けに設計されています。
選択するツールがソフトウェア環境と互換性があることを確認してください。
トップのOSS脆弱性管理ツール
市場にはさまざまなオープンソースの脆弱性管理ソリューションがあり、それぞれが基本的な検出から高度な検出と修復まで、さまざまな機能を提供します。 トップのオープンソースツールとその機能を、それぞれのカテゴリに分けてカバーします。
インフラストラクチャスキャナー
手記: このセクションのツールの一般的な制限は、Web サイトとアプリの脆弱性を評価できないことです。
オープンVAS
Open Vulnerability Assessment Software(OpenVAS)は、いくつかのテストモジュールと2つの中心コンポーネント(スキャナーとマネージャー)で構成されるネットワークおよびエンドポイントの脆弱性スキャナーです。 その広範な最新の脆弱性データベースにより、正確なネットワーク脆弱性検出が可能になります。
OpenVASには無料版と有料版がありますが、主な違いは提供される機能と使用されるネットワーク脆弱性テスト(NVT)フィードです。有料版にはGreenbone Enterpriseフィードが付属し、無料版にはGreenboneコミュニティフィードが付属しています。
機能(無料版)
自動資産検出、インベントリ、タグ付け
ローカルまたはクラウドベースのインストール
リスクの優先順位付け
古いソフトウェア、Webサーバーの脆弱性、および設定ミスのフラグ付け
グラフィカルでインタラクティブなWebインターフェース
Pros | Cons |
---|---|
User-friendly management console | Complicated to use; there may be a learning curve for some |
Extensive vulnerability reports | Limited coverage; scans only basic endpoints and networks |
Customization and integration options | Ideal for Linux and Windows OSes only |
Active community; better peer support and regular updates |
オープンSCAP
Open Security Content Automation Protocol(OpenSCAP)は、米国が管理するLinuxベースのプラットフォームです。 米国国立標準技術研究所 (NIST) は、SCAP 標準を実装します。 OpenSCAP Base、Workbench、Daemonなどの一連のモジュールで構成されており、脆弱性スキャンとコンプライアンスの強制を対象としています。
脆弱性スキャナであるOpenSCAP Baseは、Common Platform Enumeration(CPE)タグと脆弱性データベースから取得したタグを比較することで脆弱性を検出します。 OpenSCAPの最新バージョンは、Windowsもサポートしています。
顔立ち
セキュリティの設定ミス検出
コンプライアンス評価
深刻度ランキング
コマンドラインスキャン
グラフィカルWebインターフェース
Pros | Cons |
---|---|
Integration with multiple open-source vendors including Red Hat | Difficult to set up and use |
Vulnerability assessment in seconds | Limited support for Windows |
Routine and on-demand scans | No support for non-Linux and Windows OSes |
ナマム
Network Mapper(Nmap)は、Windows、Linux、macOS、およびFreeBSDシステム用のコマンドラインネットワークおよびポート脆弱性スキャナーです。 Nmapは、オンライン/オフラインホスト、オープン/クローズドポート、ファイアウォールなど、および関連する脆弱性を発見するために、さまざまなパケットタイプをターゲットネットワークに送信します。
顔立ち
ホストアドレス、サービス、OS の自動検出
IP パケットによるホストとサービスのスキャン
500+スクリプトによる高度な脆弱性評価
バージョン検出
TCP/IP/OSフィンガープリント
DNS クエリ
Pros | Cons |
---|---|
Highly extensible with built-in scripts | Limited user interface; only recently introduced |
Multiple output formats including normal, interactive, grepable, etc. | Susceptible to detection and blocking due to excessive traffic and noise generation |
Customizable network scans | No graphical network maps |
Fast and accurate vulnerability detection |
ニクト
Niktoは、脆弱性チェックを実行するためのコマンドラインインターフェイスを備えたWebサーバースキャナーです。 さまざまな種類のサーバー内のソフトウェアバージョンの脆弱性と悪意のあるプログラムを発見し、古いソフトウェアを自動的に更新します。
また、サーバーの設定ミスをチェックし、Cookie をキャプチャして Cookie ポイズニングを検出します。 最新バージョンのNikto 2.5は、IPv6をサポートしています。
顔立ち
7,000+の危険なファイル/ CGIのテスト
1250+の古いサーバーバージョンと270+のバージョン固有の脆弱性を検出します
Perl/NetSSL for WindowsおよびOpenSSL for UnixシステムによるSSLをサポート
サブドメインと資格情報の推測
プレーンテキスト、XML、SQL、JSONなどの形式でのレポート
Nginx、Apache、Lighttpd、LiteSpeedなどの複数のWebサーバーのサポート
Pros | Cons |
---|---|
Regular and automatic scan of plugin updates | Free software, but data files for running the program are paid |
Template engine for customized reports | Requires some expertise |
Mutation techniques and content hashing for minimizing false positives | Lengthy scan durations |
Anti-intrusion detection software | Limited to web servers; does not scan the entire software environment |
Authorization guessing for all directories, including root, parent, and subdirectories |
ウェブサイトとウェブアプリのスキャナー
これらのツールはトップのWebアプリスキャナーですが、ネットワークとインフラストラクチャの脆弱性を検出することはできません。
ワピティ
Wapitiは、アプリ/Webサイトの脆弱性スキャナーおよびペネトレーションテスターです。 GETおよびPOSTのHTTP侵入攻撃方法をサポートしています。
Wapiti は、アプリのコードベースを調べて脆弱性を発見するのではなく、ファジング手法を使用して脆弱なスクリプトを検出します。 また、ユーザーは異常しきい値を設定し、それに応じてアラートを送信することもできます。
顔立ち
Web アプリのフィンガープリント
複数のSQLインジェクション手法の発見
HTTP ヘッダーのセキュリティ
クロスサイトリクエストフォージェリ(CSRF)、サーバーサイドリクエストフォージェリ(SSRF)、キャリッジリターンラインフィード(CRLF)インジェクション、およびブルート フォース ログイン検出
中間者 (MITM) プロキシのサポート
Pros | Cons |
---|---|
Scans folders, domains, pages, specific URLs | No graphical user interface |
Five vulnerability report formats: TXT, JSON, HTML, XML, and CSV | Ideal for experienced users only |
Color-based vulnerability reporting | |
Customizable verbosity levels | |
Supports pausing and resuming pen testing and vulnerability scans |
sqlmapの
SQLMapは、主にデータベースの脆弱性スキャンおよび侵入テストツールです。 その強力なペネトレーションテスターは、スキャン中のノイズを最小限に抑え、さまざまなデータベースの脆弱性タイプを検出します。
DBMSの認証情報、データベース名、IPアドレスなどを使用して、データベースに接続する際のSQLインジェクションをバイパスし、誤検知を最小限に抑えます。
顔立ち
スタッククエリを含むさまざまなSQLインジェクション手法をカバー
PostgreSQL、MySQL、Oracle など、複数のデータベースサービスのサポート
パスワードハッシュ形式の検出
Pros | Cons |
---|---|
Accurate vulnerability detection with advanced detection engine | Command-line tool only |
Dictionary-based password cracking | Has a steep learning curve |
User, role, table, column, and database enumeration | Limited to database vulnerability scans |
Burp スイート
Burp Suiteは、脆弱性スキャンと侵入テストのためのBurp Spider、Burp Proxy、Burp Intruderなどの一連のツールを含むWebアプリセキュリティプラットフォームです。
無料のBurp Suite Community Editionと有料のBurp Suite Enterprise Editionがあり、パフォーマンスと機能の点で異なります。
機能(無料版)
CI/CD インテグレーション
コンテナのスキャン
ウェブサイトのトラフィックを追跡するためのげっぷプロキシ
Burp Spider でアプリのクロールとアプリデータのデコードが可能
Burp Repeaterは、SQLインジェクションなどの入力ベースの脆弱性を検出します。
Pros | Cons |
---|---|
Easy to set up | Manual web app testing, not automated |
Standard software and Kubernetes Helm chart deployment | Limited number of features compared to other open-source tools |
Compliance audits | Considerably slower with large workloads |
Intrusion detection only, cannot conduct pen testing |
スキップフィッシュ
Skipfishは、コンテンツ管理システム(CMS)向けの自動化されたWebサイト、Webアプリ、および侵入テストソリューションです。 Skipfishは、再帰的なクローリングと辞書ベースのプローブを使用して、脆弱性の経路と公開されたディレクトリ/パラメータを表示するインタラクティブな注釈付きサイトマップを作成します。
顔立ち
15 +侵入テストモジュールがあります
サーバーサイドクエリ、XML/XPath、シェルコマンドインジェクション(ブラインドインジェクションベクトルを含む)を発見
無効なSSL証明書と問題のあるキャッシュディレクティブを明らかにする
さまざまな列挙型攻撃タイプを追跡します
Pros | Cons |
---|---|
Written in C; consumes minimal CPU resources | No database of known vulnerabilities |
Fast scans; runs 2,000 requests per second | Only ideal for Kali Linux platforms |
Heuristics approach that minimizes false positives | Limited to penetration testing; does not resolve vulnerabilities |
Intrusive scans; may temporarily disrupt website activity during scans |
最適なツールの選択
上記の上位のオープンソース ツールには、リスクの低いデータを持つ小規模企業に最適な機能が備わっています。 ただし、より機密性の高いデータとインフラストラクチャを持つ企業の場合、OSS ツールには、複雑さ、互換性の問題、機能の制限など、いくつかの重要な制限があります。
オープンソースのツールでは、企業のスタック全体の包括的な脆弱性評価が提供されていないため、組織はクラウドを完全にカバーするために、そのようなツールを多数統合しなければならない場合があります。 さらに、必要なすべての統合に互換性がある場合でも(これは非常に困難な場合があります)、複数のソリューションを使用すると複雑さが増し、非効率性につながる可能性があります。
Wiz'脆弱性管理に対するアプローチ
その一部として's クラウドネイティブ・アプリケーション保護プラットフォームWiz'の脆弱性管理ソリューションは、さまざまなクラウド環境とワークロードの脆弱性を管理および軽減するように設計された、堅牢でエージェントレスのクラウドネイティブなアプローチを提供します。 それ'のハイライトは次のとおりです。
エージェントレステクノロジー: Wiz は、エージェントレス スキャン アプローチを使用して、1 回限りのクラウドネイティブ API デプロイを活用します。 この方法により、エージェントをデプロイすることなく、さまざまな環境全体で継続的なワークロード評価が可能になるため、メンテナンスが簡素化され、完全なカバレッジが確保されます。
包括的なカバレッジ: このソリューションは、複数のクラウドプラットフォーム(AWS、GCP、Azure、OCI、Alibaba Cloud、VMware vSphereなど)とテクノロジー(VM、サーバーレス機能、コンテナ、コンテナレジストリ、仮想アプライアンス、マネージドコンピューティングリソース)にわたる広範な脆弱性の可視性を提供します。 70,000を超える脆弱性をサポートし、30+オペレーティングシステムをカバーし、CISA KEVカタログと数千のアプリケーションが含まれています。
コンテキストに応じたリスクベースの優先順位付け: Wiz は、環境リスクに基づいて脆弱性に優先順位を付けるため、チームはセキュリティ体制に最も大きな影響を与える修復に集中できます。 これにより、脆弱性を複数のリスク要因 (外部からの露出や設定ミスなど) と関連付けて、最初に対処すべき最も重要な脆弱性を表面化することで、アラートの疲労を軽減します。
詳細な評価: このソリューションは、VM、コンテナ、サーバーレス機能など、さまざまな環境で、ネストされた Log4j 依存関係などの隠れた脆弱性を検出できます。 これにより、最も深く埋もれている脆弱性も確実に発見されます。
Uncover Vulnerabilities Across Your Clouds and Workloads
Learn why CISOs at the fastest growing companies choose Wiz to secure their cloud environments.