Link
Embed
Share
Beginning
This slide
Copy link URL
Copy link URL
Copy iframe embed code
Copy iframe embed code
Copy javascript embed code
Copy javascript embed code
Share
Tweet
Share
Tweet
Slide 1
Slide 1 text
OSSの脆弱性との 向き合い⽅ 2024.03.09 PHPerKaigi 2024 荒瀬 泰輔
Slide 2
Slide 2 text
AGENDA • ⾃⼰紹介 • OSS更新してますか? • サイボウズのGaroonについて • OSS脆弱性の検知⽅法の紹介 • OSS脆弱性の対応フローの紹介
Slide 3
Slide 3 text
⾃⼰紹介 • PHPer歴5年くらい • ⽉刊ぺちこんは 北海道(済) ⾹川、福岡に参加予定 • サイボウズかき氷部の 部⻑🍧 荒瀬 泰輔 @at_taisuke
Slide 4
Slide 4 text
OSS使ってますか? イエーイ!
Slide 5
Slide 5 text
OSSのアップデートしてますか?
Slide 6
Slide 6 text
OSSの更新の難しさ • アップデートするきっかけがない • ビジネスサイドの理解が得られにくい • EOLを迎えたライブラリの代替ライブラリを 探す・置き換える時間がない
Slide 7
Slide 7 text
OSSの脆弱性の観点から 弊社の更新フローを紹介します
Slide 8
Slide 8 text
OSS更新のきっかけになれば 幸いです!
Slide 9
Slide 9 text
サイボウズのGaroonについて • 中・⼤規模組織向けのグルー プウェア • PHP 4 の時代から20年以上 • 現在は PHP 8.1.x で動いてい る • PHP 8.2.x に向けて実装中
Slide 10
Slide 10 text
Garoonで使⽤されているOSS • PHP • composerライブラリ • npmライブラリ • MySQL などなどたくさん 20年ものなのでライブラリ管理も⼤変!🥺
Slide 11
Slide 11 text
Garoonのセキュリティチーム • Yukimiチーム❄ • 継続的に安全なGaroonを提供するを⽬標 • 主にGaroonのOSSの管理・更新 • 詳しくはブログで 「Garoonのセキュリティを維持するYukimiチームの 紹介」 https://blog.cybozu.io/entry/2023/10/04/101916
Slide 12
Slide 12 text
脆弱性をどう検知するか?
Slide 13
Slide 13 text
脆弱性をどう検知するか? • yamoryを使⽤して検知 • 社内PSIRT(Cy-PSIRT)からの連絡
Slide 14
Slide 14 text
yamory • Visionalグループのアシュアードさんが提供し ている脆弱性管理サービス • Garoonにはオンプレミス版とクラウド版があ り、ライブラリのバージョンが異なる • バージョン(ブランチ)ごとに脆弱性を検知 してくれる
Slide 15
Slide 15 text
社内PSIRT(Cy-PSIRT) • サイボウズの製品のセキュリティ上の問題を検知 したり、脆弱性情報を公開してくれているチーム • yamoryではカバーできない範囲のOSSの脆弱性情 報を通知してくれる • 詳しくはブログで「Cy-PSIRTの紹介」 https://blog.cybozu.io/entry/2021/10/08/17000 0
Slide 16
Slide 16 text
OSSに脆弱性が出たらどうする?
Slide 17
Slide 17 text
まずは情報収集 • 脆弱性が出たOSSは何か? • クラウド版とオンプレ版どちらに影響がある か? • CVSSスコアは出ているか?
Slide 18
Slide 18 text
脆弱性が出たOSSは何か? • Garoonにはクラウド版とオンプレ版があり、 使⽤しているライブラリが⼀部異なる • OSS脆弱性の対応基準も異なる🤫 • kintoneで「Garoon OSS List」アプリを作り、 OSSのバージョンをいい感じに管理・把握で きるようにしている
Slide 19
Slide 19 text
No content
Slide 20
Slide 20 text
対応フロー • 脆弱性が出たOSSがクラウド版とオンプレ版どちらに 影響があるかを「Garoon OSS List」アプリで調べる • CVSSスコアを調べる • Garoonに影響があるかを調べる(条件付き🤫) • スコアが⾼くGaroonに影響がある場合、緊急対応す る必要があるかを判断する • ビッグ・シールド・ガードナーに対応履歴を記録する
Slide 21
Slide 21 text
ビッグ・シールド・ガードナー • 攻撃⼒ 100 • 守備⼒ 2600 • 地属性・戦⼠族・レベル4 • オシリスの天空⻯から遊戯を 守護したカード
Slide 22
Slide 22 text
ビッグ・シールド・ガードナー(Garoon) • Garoon脆弱性対応履歴アプリ • kintoneで作成されている • CVSSスコアや対応⽅針を記 録しておく • この脆弱性って既知のやつ だっけ?からGaroon開発者を 守護するアプリ
Slide 23
Slide 23 text
EOLを迎えたライブラリどうする?
Slide 24
Slide 24 text
多分時間ないので気になる⽅は 懇親会でお声がけください😘
Slide 25
Slide 25 text
まとめ • OSSのアップデートを⾏うチームがあるよ • yamoryとか社内PSIRTからOSSの脆弱性情報を通 知してもらってるよ • どのOSSでどんな脆弱性が出たか、CVSSスコアは どうかを総合的にみて更新の優先度を判断するよ • kintoneアプリをいい感じに使ってOSSだったり脆 弱性履歴を管理してるよ