Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OSSの脆弱性との向き合い⽅

Cybozu
PRO
March 25, 2024
Technology
2
76

 OSSの脆弱性との向き合い⽅

PHPerKaigi 2024
https://phperkaigi.jp/2024/

2024/03/09 16:55〜 Track A
https://fortee.jp/phperkaigi-2024/proposal/ccdbcea0-f8a6-4114-b29b-93d14fc33572
OSSの脆弱性との向き合い方 by 荒瀬 泰輔

Cybozu
PRO

March 25, 2024
Tweet

More Decks by Cybozu

See All by Cybozu
生産性向上チームの紹介
cybozuinsideout
PRO
1
880
サイボウズQAの紹介
cybozuinsideout
PRO
1
270
試験仕様書の英語化をやってみたら試験仕様書の本質が見えてきた
cybozuinsideout
PRO
0
270
販売管理オペレーターが開発チームの一員となった話
cybozuinsideout
PRO
0
260
主体的な活動で巨大な影響範囲のテストを乗りこなしていく話
cybozuinsideout
PRO
1
260
Garoon 開発チーム / Garoon development team
cybozuinsideout
PRO
2
2.9k
既存プロセスからの脱却と変化に適応するために必要なこと
cybozuinsideout
PRO
2
580
スプリント内で試験を完了させるには?アジャイル・スクラム開発に参加したQAエンジニアの悩みと対策
cybozuinsideout
PRO
1
550
サイボウズのQAエンジニア育成
cybozuinsideout
PRO
4
1.5k

Other Decks in Technology

See All in Technology
非同期推論システムによるコスト削減と信頼性向上
koki_nishihara
0
270
ExaDB-D dbaascli で出来ること
oracle4engineer
PRO
0
2.1k
BPStudyの200回を中心にIT業界を振り返る。そしてこれから
haru860
2
170
R3のコードから見る実践LINQ実装最適化・コンカレントプログラミング実例
neuecc
2
300
GraphQL 成熟度モデルの紹介と、プロダクトに当てはめた事例 / GraphQL maturity model
mh4gf
7
1.4k
今日からできる!簡単 .NET 高速化 Tips -2024 edition-
xin9le
2
490
GrafanaMeetup_AmazonManagedGrafanaのアクセス制御機能とマルチテナント環境下でのアクセス制御について
daitak
0
260
FrontDoorとWebAppsを組み合わせた際のリダイレクト処理の注意点
kenichirokimura
1
570
開発生産性大幅アップ!Postman VS Code拡張機能
nagix
2
420
MLOpsの「壁」を乗り越える、LINEヤフーの Data Quality as Code
lycorptech_jp
PRO
5
540
複雑な構成要素を持つUIとの向き合い方 〜新・支出グラフでの実例〜 / B43 TECH TALK
nakamuuu
0
140
APIファーストなプロダクトマネジメントの実践 〜SaaSus Platformでの例〜 / "Practicing API-First Product Management - An Example with SaaSus Platform
oztick139
0
110

Featured

See All Featured
What's new in Ruby 2.0
geeforr
337
31k
How STYLIGHT went responsive
nonsquared
92
4.8k
Keith and Marios Guide to Fast Websites
keithpitt
408
22k
In The Pink: A Labor of Love
frogandcode
138
21k
For a Future-Friendly Web
brad_frost
172
9k
Writing Fast Ruby
sferik
621
60k
Building an army of robots
kneath
300
41k
Product Roadmaps are Hard
iamctodd
44
9.7k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
17
1.4k
Why Our Code Smells
bkeepers
PRO
331
56k
RailsConf 2023
tenderlove
4
540
The Illustrated Children's Guide to Kubernetes
chrisshort
31
46k

Transcript

  1. OSSの脆弱性との 向き合い⽅ 2024.03.09 PHPerKaigi 2024 荒瀬 泰輔

  2. AGENDA • ⾃⼰紹介 • OSS更新してますか? • サイボウズのGaroonについて • OSS脆弱性の検知⽅法の紹介 •

    OSS脆弱性の対応フローの紹介

  3. ⾃⼰紹介 • PHPer歴5年くらい • ⽉刊ぺちこんは 北海道(済) ⾹川、福岡に参加予定 • サイボウズかき氷部の 部⻑🍧

    荒瀬 泰輔 @at_taisuke

  4. OSS使ってますか? イエーイ!

  5. OSSのアップデートしてますか?

  6. OSSの更新の難しさ • アップデートするきっかけがない • ビジネスサイドの理解が得られにくい • EOLを迎えたライブラリの代替ライブラリを 探す・置き換える時間がない

  7. OSSの脆弱性の観点から 弊社の更新フローを紹介します

  8. OSS更新のきっかけになれば 幸いです!

  9. サイボウズのGaroonについて • 中・⼤規模組織向けのグルー プウェア • PHP 4 の時代から20年以上 • 現在は

    PHP 8.1.x で動いてい る • PHP 8.2.x に向けて実装中

  10. Garoonで使⽤されているOSS • PHP • composerライブラリ • npmライブラリ • MySQL などなどたくさん

    20年ものなのでライブラリ管理も⼤変!🥺

  11. Garoonのセキュリティチーム • Yukimiチーム❄ • 継続的に安全なGaroonを提供するを⽬標 • 主にGaroonのOSSの管理・更新 • 詳しくはブログで 「Garoonのセキュリティを維持するYukimiチームの

    紹介」 https://blog.cybozu.io/entry/2023/10/04/101916

  12. 脆弱性をどう検知するか?

  13. 脆弱性をどう検知するか? • yamoryを使⽤して検知 • 社内PSIRT(Cy-PSIRT)からの連絡

  14. yamory • Visionalグループのアシュアードさんが提供し ている脆弱性管理サービス • Garoonにはオンプレミス版とクラウド版があ り、ライブラリのバージョンが異なる • バージョン(ブランチ)ごとに脆弱性を検知 してくれる

  15. 社内PSIRT(Cy-PSIRT) • サイボウズの製品のセキュリティ上の問題を検知 したり、脆弱性情報を公開してくれているチーム • yamoryではカバーできない範囲のOSSの脆弱性情 報を通知してくれる • 詳しくはブログで「Cy-PSIRTの紹介」 https://blog.cybozu.io/entry/2021/10/08/17000

    0

  16. OSSに脆弱性が出たらどうする?

  17. まずは情報収集 • 脆弱性が出たOSSは何か? • クラウド版とオンプレ版どちらに影響がある か? • CVSSスコアは出ているか?

  18. 脆弱性が出たOSSは何か? • Garoonにはクラウド版とオンプレ版があり、 使⽤しているライブラリが⼀部異なる • OSS脆弱性の対応基準も異なる🤫 • kintoneで「Garoon OSS List」アプリを作り、

    OSSのバージョンをいい感じに管理・把握で きるようにしている
  19. None

  20. 対応フロー • 脆弱性が出たOSSがクラウド版とオンプレ版どちらに 影響があるかを「Garoon OSS List」アプリで調べる • CVSSスコアを調べる • Garoonに影響があるかを調べる(条件付き🤫)

    • スコアが⾼くGaroonに影響がある場合、緊急対応す る必要があるかを判断する • ビッグ・シールド・ガードナーに対応履歴を記録する

  21. ビッグ・シールド・ガードナー • 攻撃⼒ 100 • 守備⼒ 2600 • 地属性・戦⼠族・レベル4 •

    オシリスの天空⻯から遊戯を 守護したカード

  22. ビッグ・シールド・ガードナー(Garoon) • Garoon脆弱性対応履歴アプリ • kintoneで作成されている • CVSSスコアや対応⽅針を記 録しておく • この脆弱性って既知のやつ

    だっけ?からGaroon開発者を 守護するアプリ

  23. EOLを迎えたライブラリどうする?

  24. 多分時間ないので気になる⽅は 懇親会でお声がけください😘

  25. まとめ • OSSのアップデートを⾏うチームがあるよ • yamoryとか社内PSIRTからOSSの脆弱性情報を通 知してもらってるよ • どのOSSでどんな脆弱性が出たか、CVSSスコアは どうかを総合的にみて更新の優先度を判断するよ •

    kintoneアプリをいい感じに使ってOSSだったり脆 弱性履歴を管理してるよ