Vuls開発者による小話@Vuls祭り#9

Transcript

1. Vuls開発者による小話 中岡 典弘 @ Vuls祭り#9

2. whoami Norihiro Nakaoka / @MaineK00n 2 Future Corporation, Cyber Security

   Innovation Group OSS Vulnerability Scanner: Vuls1 Committer Achieved 10,000 stars on 2023-06-08 🎉 [1] https://github.com/future-architect/vuls

3. Contents 1. これまでの OSS Vuls 2. これからの OSS Vuls 3.

   まとめ 3

4. 1. これまでの OSS Vuls

5. ここ3ヶ月のVulsへの（気に入っている）変更 • go-cve-dictionary の NVD API へのサポート ◦ https://github.com/future-architect/vuls/pull/1803 ◦

   https://github.com/future-architect/vuls/pull/1805 • windows scanで、default shellがpowershellの場合をサポート ◦ https://github.com/future-architect/vuls/pull/1844 5

6. Vuls データソースまわりの変遷 2016/04 f4fb0b5 ソースコード公開，cve のみ 2017/08 10a2704 oval 追加

   2018/08 44fa2c5 gost 追加 2018/11 9865eab exploit 追加 2020/07 11a7a0c metasploit 追加 2021/11 89d94ad kev 追加 2022/06 5234306 cti 追加 6

7. Vuls DB 周りでよく思うこと • oval, gostの担当は？ ◦ 初期: oval→patched cve,

   gost→unpatched cve ◦ 現在: debian/ubuntu はgostでpatched, unpatched cveを検知 • Vulsから利用するだけなら，cve, exploit, metasploit, kev, ctiが独立する必 要なくない？ ◦ それはそう 7

8. Vuls スキャン周りで思うこと • スキャン手順が色々 ◦ OS package: Vuls(local，SSH，Server) ◦ Docker

   Image: Trivy-to-Vuls ◦ Library: Trivy-to-Vuls, Vuls(lockfile) ◦ 3rd-party software: go-cpe-dictionary→Vuls(CPE) ◦ NW機器: snmp2cpe→Vuls(CPE) ◦ SBOM: ??? 8

9. 2. これからの OSS Vuls

10. 3つの大きなリファクタリング 1. 各種DBの統合 a. DBの安定した提供 b. 脆弱性DBのカスタマイズ 2. スキャンのきめ細やかさ 3.

    テストカバレッジ 10

11. 脆弱性DBのカスタマイズ Vulsで使用するDBに 自社製品や収集した情報などを追 加したりできるように したい（と思っている） vuls-jp feedとか？？？ 11

12. 妄想① 12

13. 妄想② 13

14. 3. まとめ

15. まとめ • OSS Vuls は，将来に向けて大規模なリファクタリングを行う予定 • もし，現在の機能に対する要望や使い勝手，将来的に実装してほしい機能 でリクエストがある場合は，GitHub issueやSlack #vuls-jp

    などで議論しま しょう！ 15