OSSの脆弱性との向き合い⽅

OSSの脆弱性との向き合い⽅ 2024.03.09 PHPerKaigi 2024 荒瀬泰輔

AGENDA • ⾃⼰紹介 • OSS更新してますか？ • サイボウズのGaroonについて • OSS脆弱性の検知⽅法の紹介 •
OSS脆弱性の対応フローの紹介

⾃⼰紹介 • PHPer歴5年くらい • ⽉刊ぺちこんは北海道(済) ⾹川、福岡に参加予定 • サイボウズかき氷部の部⻑🍧
荒瀬泰輔 @at_taisuke

OSS使ってますか？イエーイ！

OSSのアップデートしてますか？

OSSの更新の難しさ • アップデートするきっかけがない • ビジネスサイドの理解が得られにくい • EOLを迎えたライブラリの代替ライブラリを探す・置き換える時間がない

OSSの脆弱性の観点から弊社の更新フローを紹介します

OSS更新のきっかけになれば幸いです！

サイボウズのGaroonについて • 中・⼤規模組織向けのグループウェア • PHP 4 の時代から20年以上 • 現在は
PHP 8.1.x で動いている • PHP 8.2.x に向けて実装中

Garoonで使⽤されているOSS • PHP • composerライブラリ • npmライブラリ • MySQL などなどたくさん
20年ものなのでライブラリ管理も⼤変！🥺

Garoonのセキュリティチーム • Yukimiチーム❄ • 継続的に安全なGaroonを提供するを⽬標 • 主にGaroonのOSSの管理・更新 • 詳しくはブログで「Garoonのセキュリティを維持するYukimiチームの
紹介」 https://blog.cybozu.io/entry/2023/10/04/101916

脆弱性をどう検知するか？

脆弱性をどう検知するか？ • yamoryを使⽤して検知 • 社内PSIRT(Cy-PSIRT)からの連絡

yamory • Visionalグループのアシュアードさんが提供している脆弱性管理サービス • Garoonにはオンプレミス版とクラウド版があり、ライブラリのバージョンが異なる • バージョン（ブランチ）ごとに脆弱性を検知してくれる

社内PSIRT(Cy-PSIRT) • サイボウズの製品のセキュリティ上の問題を検知したり、脆弱性情報を公開してくれているチーム • yamoryではカバーできない範囲のOSSの脆弱性情報を通知してくれる • 詳しくはブログで「Cy-PSIRTの紹介」 https://blog.cybozu.io/entry/2021/10/08/17000
0

OSSに脆弱性が出たらどうする？

まずは情報収集 • 脆弱性が出たOSSは何か？ • クラウド版とオンプレ版どちらに影響があるか？ • CVSSスコアは出ているか？

脆弱性が出たOSSは何か？ • Garoonにはクラウド版とオンプレ版があり、使⽤しているライブラリが⼀部異なる • OSS脆弱性の対応基準も異なる🤫 • kintoneで「Garoon OSS List」アプリを作り、
OSSのバージョンをいい感じに管理・把握できるようにしている

対応フロー • 脆弱性が出たOSSがクラウド版とオンプレ版どちらに影響があるかを「Garoon OSS List」アプリで調べる • CVSSスコアを調べる • Garoonに影響があるかを調べる（条件付き🤫）
• スコアが⾼くGaroonに影響がある場合、緊急対応する必要があるかを判断する • ビッグ・シールド・ガードナーに対応履歴を記録する

ビッグ・シールド・ガードナー • 攻撃⼒ 100 • 守備⼒ 2600 • 地属性・戦⼠族・レベル4 •
オシリスの天空⻯から遊戯を守護したカード

ビッグ・シールド・ガードナー(Garoon) • Garoon脆弱性対応履歴アプリ • kintoneで作成されている • CVSSスコアや対応⽅針を記録しておく • この脆弱性って既知のやつ
だっけ？からGaroon開発者を守護するアプリ

EOLを迎えたライブラリどうする？

多分時間ないので気になる⽅は懇親会でお声がけください😘

まとめ • OSSのアップデートを⾏うチームがあるよ • yamoryとか社内PSIRTからOSSの脆弱性情報を通知してもらってるよ • どのOSSでどんな脆弱性が出たか、CVSSスコアはどうかを総合的にみて更新の優先度を判断するよ •
kintoneアプリをいい感じに使ってOSSだったり脆弱性履歴を管理してるよ

OSSの脆弱性との向き合い⽅

OSSの脆弱性との向き合い⽅

Cybozu
PRO

More Decks by Cybozu

Other Decks in Technology

Featured

Transcript