Vuls祭り#3行ってきました!
vuls-jp.connpass.com
六本木グランドタワーのDMM様オフィスで開催されました。
初回はFuture様オフィスだったような。
実は初回は参加してまして、その時の記事はこちら↓
xblood.hatenablog.com
10月後半からは勉強会ラッシュです。
11月にはJJUC CCCとSpring Day、
合間にJAWS UG CLI支部にも参加する予定です。
来年はScala Matsuriにも参加したいのでScalaの腕を上げておかないと・・!
Java9のキャッチアップも行わないといけないし、
MVプロジェクトも進めなきゃいけないしで時間足りない(T_T)
レポート①
Vulsの最新アップデートと今後の機能拡張について
0.4.0 解説
root権限使いたくないと偉い人が言ったのでモードが増えた。
- First Scan Mode
- rootなしのモード
- Deep Scan Mode
- rootが必要なモード
- ovalのデータベースを0.4から使えるようになった
- -> パッケージのバージョンとマッチングしてレポートする的な。
- ネットに繋がっていなくても使えるようになった
- パッチを提供していない脆弱性も検知できるようになった。
- -> 0.3まではパッチを提供している脆弱性のみしか検知できなかった。
- スキャン情報使ってレポーティング
- バグが見つかったので修正したバージョンの0.4.1を使ってくれ。
- -> 全パターン網羅とかでテストが大変だった。-> コミュニティの人がテストに参加した -> Thanks!
- 取り組んでいること
- suseのenterpriseへの取り組み
- checkRestart -> 最新なんだけど動いているパッケージが古い場合の検知
- docker image alpineへの対応(北米はdockerのalpine人気?)の取り組み
ここでなんと、コントリビュート作業開始w
基調講演で「単語のスペルミスとかあえて残してるので今がコントリビュートするチャンスです」と言ってたので、
残りのセッションを聞きながらスペルミスを探す作業を開始www
Atomでスペルチェックするも、なかなか見つからない。
あれぇ・・スペルミスないじゃん?と思っていた矢先、見つけましたw
その場でFork -> 修正 -> プルリクという流れw
実際のプルリクはこちら↓
github.com
レポート②
vulsrepoの最新アップデートについて
qiita.com
登壇者の方、Future社員になった様子。Vuls転職w
NVD, JVNタブを廃止して一画面に集約したのでスコアの差が分かりやすくなったらしい。
Vulsで検知した脆弱性への対処について
Vuls経由ではなくて、CVEディクショナリー自体を活用することに主眼を置けば見方が変わる的な。
LT
サーバレスVulsアーキテクチャ再び
サーバレスVulsアーキテクチャ再び / serverless-vuls-again - Speaker Deck
CloudFormationテンプレートが公開!素晴らしい!
弊社の既存システムをVulsで診断してみた ~診断しかできないVuls環境の作り方~
すません、あまり覚えていないので割愛
Vulsだけで完結しない、WEBサイト脆弱性対策について
Vulsに適用できる・できない範囲を再確認してVuls使うといいよ的な話。
脆弱性検知後のパッチ適用運用が捗るサービスを作ってみた話
Vuls Cloudの紹介だったと思います。UIがクール!
所感
今回は前日になって急ぎで参加を決めたわけですが、
理由はもちろん社内でVuls使えないかなー?と思ったので
最近のVuls動向を掴むためです。
シースーとザーピー食べて、ルービー飲みながら
Vulsバリバリ活用している人たちの話を聞く至福の一時だった。
※1,000円の参加料を払ってます。
スポンサー企業様に感謝!
↑Contributeもしたよ!
OSSにContributeするきっかけって大事だと思う
Readme.mdを読むことでOSSプロダクトの知識を増やすことになるわけだし、
ドキュメントの整備はソースコードへのContributeを目指すための第1歩だと思っている。
ドキュメント周りで人が足りないって話はOSSではよく聞く話だし、
これからも何らかのContributeをしていきたいと思っています。
以上です!