Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OSSツールのTrivyでSBOM出力と脆弱性検査をしてみた

Satoshi Kaneyasu
December 08, 2023
Programming
0
420

 OSSツールのTrivyでSBOM出力と脆弱性検査をしてみた

Satoshi Kaneyasu

December 08, 2023
Tweet

More Decks by Satoshi Kaneyasu

See All by Satoshi Kaneyasu
GitHub Actionsのキャッシュと手を挙げることの大切さとそれに必要なこと
satoshi256kbyte
5
430
Amazon Neptuneで始めてみるグラフDB -OpenSearchによるグラフの全文検索-
satoshi256kbyte
4
400
【5分LT】フロントエンドとバックエンドを繋ぐ認証サービス Amazon Cognito
satoshi256kbyte
2
60
AWS認定資格を受験するにあたり、気づいたこと・実践していたことのまとめ
satoshi256kbyte
2
170
[LT]Amazon Neptuneで始める初めてのグラフDB ー グラフDBを使う意味を考える ー
satoshi256kbyte
2
340
おもにクラウドの話してます#3 OPスライド
satoshi256kbyte
1
31
AWS CodeCommitの次として考えた 場合のAmazon CodeCatalyst
satoshi256kbyte
1
930
アプリケーションエンジニアがDistributed Load Testingで 負荷テストをしてみる〜Ver.B〜
satoshi256kbyte
2
63
アプリケーションエンジニアがDistributed Load Testingで負荷テストをしてみる〜Ver.A〜
satoshi256kbyte
2
120

Other Decks in Programming

See All in Programming
AI時代におけるSRE、
あるいはエンジニアの生存戦略
pyama86
6
1.2k
What’s New in Compose Multiplatform - A Live Tour (droidcon London 2024)
zsmb
1
480
「今のプロジェクトいろいろ大変なんですよ、app/services とかもあって……」/After Kaigi on Rails 2024 LT Night
junk0612
5
2.2k
カンファレンスの「アレ」Webでなんとかしませんか? / Conference “thing” Why don't you do something about it on the Web?
dero1to
1
110
Why Jakarta EE Matters to Spring - and Vice Versa
ivargrimstad
0
1.2k
Jakarta EE meets AI
ivargrimstad
0
280
Kaigi on Rails 2024 〜運営の裏側〜
krpk1900
1
260
React への依存を最小にするフロントエンド設計
takonda
12
3.3k
EMになってからチームの成果を最大化するために取り組んだこと/ Maximize team performance as EM
nashiusagi
0
100
Flutterを言い訳にしない!アプリの使い心地改善テクニック5選🔥
kno3a87
1
210
.NET のための通信フレームワーク MagicOnion 入門 / Introduction to MagicOnion
mayuki
1
1.8k
とにかくAWS GameDay!AWSは世界の共通言語! / Anyway, AWS GameDay! AWS is the world's lingua franca!
seike460
PRO
1
910

Featured

See All Featured
How GitHub (no longer) Works
holman
310
140k
Agile that works and the tools we love
rasmusluckow
327
21k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
28
9.1k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
26
2.1k
Reflections from 52 weeks, 52 projects
jeffersonlam
346
20k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
229
52k
10 Git Anti Patterns You Should be Aware of
lemiorhan
655
59k
How STYLIGHT went responsive
nonsquared
95
5.2k
Building Applications with DynamoDB
mza
90
6.1k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
33
1.9k
Documentation Writing (for coders)
carmenintech
65
4.4k
Docker and Python
trallard
40
3.1k

Transcript

  1. OSSツールのTrivyでSBOM出⼒と脆弱性検査をしてみた Satoshi Kaneyasu 2023.12.10 OSC2023 Yamaguchi

  2. 2 ⾃⼰紹介 ⽒名︓兼安 聡 在住︓広島 所属︓株式会社サーバーワークス(ʼ23/05〜) 趣味︓サックス、筋トレ、CS ゲーム 資格︓ X(Twitter)︓@satoshi256kbyte

    最近のお仕事︓DevOpsの推進 など

  3. 3 最近の気になるニュース グーグル系企業が三原の本郷産業団地に進出、1000億円でデータセン ター建設へ 広島県が全区画売却

  4. ⽬次 1. 今回の発表の⽬的 2. SBOMとは 3. SBOMを取り巻く状況 4. OSSのTrivyでSBOM出⼒と脆弱性検査してみる 5.

    Trivyは何を⾒て脆弱性を判定しているのか︖ 6. GitHub ActionsとTrivy 7. まとめ

  5. 5 今回の発表の⽬的 • DevSecOpsを始めたくて、SBOMに着⽬しました。 • OSSのTrivyを使って脆弱性検査とSBOM出⼒について調べたので、 その知⾒を共有します。 <本資料執筆に⽤いた環境> • Amazon

    Linux 2023 • Trivy 0.48.0

  6. SBOMとは

  7. 7 SBOMとは • Software Bill of Materials • ソフトウェアコンポーネントやそれらの依存関係をリスト化したもの •

    国際的な標準規格あり • SPDX(Software Package Data Exchange) • CycloneDX • SWID タグ(Software Identification タグ) • 機械処理可能

  8. 8 SBOMを使⽤する⽬的 • ソフトウェアコンポーネントの脆弱性管理 • ソフトウェアコンポーネントのライセンス管理 • 管理コストの削減 • 脆弱性の少ない製品が増えることで、サイバー衛⽣を向上させる

    <参考> 経済産業省 - ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導 ⼊に関する⼿引 Ver. 1.0

  9. 9 SBOMを使⽤する⽬的 • ソフトウェアコンポーネントの脆弱性管理 • ソフトウェアコンポーネントのライセンス管理 • 管理コストの削減 • 脆弱性の少ない製品が増えることで、サイバー衛⽣を向上させる

    <参考> 経済産業省 - ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導 ⼊に関する⼿引 Ver. 1.0

  10. SBOMを取り巻く状況

  11. 11 SBOMを取り巻く状況 • SBOMの対応状況は、業界ごとによって異なる • 公共性の強い業界ほど、SBOMの議論が進んでおり、 医療業界がもっとも進んでいる模様 • 経済産業省 -

    サイバー・フィジカル・セキュリティ確保に向けたソフトウェア管 理⼿法等検討タスクフォースの検討の⽅向性 「本事業の成果物を活⽤したSBOM普及促進策案」(P33)より 基準・ガイドラインに関連付いた業界の解説⽂書、業界セミナーなどでSBOMガイダンスの参照・ 推奨を受けデファクト化を推進。 (規制当局・認証機関におけるSBOMガイダンスの活⽤促進)

  12. 12 薬事法とSBOM • 今年の春に薬事法が改正、SBOMの記載が追記 • 1年間の経過措置期間あり • 2024年に向けて、医療業界ではSBOM対応が進んでいると思われる • 厚⽣労働省

    - 医療機器の基本要件基準第12条第3項の適合性の確認に ついて (4) JIS T 81001―5―1の箇条8のソフトウェア構成管理プロセスについて 構成管理プロセスは、 当該医療機器のソフトウェア部品表(SBOM)を適切に作成することによって確認すること。

  13. OSSのTrivyでSBOM出⼒と脆弱性検知してみる

  14. 14 Trivyとは • OSSのツール • コンテナイメージやアプリのソフトウェアコンポーネントを検査 • SBOMを出⼒可能 • 脆弱性を検知可能

    • 脆弱性DBは⾃動更新 • Trivy公式

  15. 15 サンプルコード . ├── Pipfile ├── Pipfile.lock └── app.py [[source]]

    url = https://pypi.org/simple verify_ssl = true name = "pypi” [packages] flask = "*” [dev-packages] [requires] python_version = "3.11"

  16. 16 TrivyでSBOMを出⼒する trivy fs ./ --format spdx-json --output spdx-json-by-trivy.json 出⼒結果

  17. 17 出⼒したSBOMを使って脆弱性検査 trivy sbom spdx-json-by-trivy.json [ec2-user@ip-10-192-10-35 flask-trivy]$ trivy sbom spdx-json-by-trivy.json

    2023-12-10T00:35:07.929Z INFO Vulnerability scanning is enabled 2023-12-10T00:35:07.930Z INFO Detected SBOM format: spdx-json 2023-12-10T00:35:07.934Z INFO Number of language-specific files: 1 2023-12-10T00:35:07.934Z INFO Detecting pipenv vulnerabilities... 脆弱性なし

  18. 18 脆弱性のあるライブラリに変える . ├── Pipfile ├── Pipfile.lock └── app.py [[source]]

    url = https://pypi.org/simple verify_ssl = true name = "pypi” [packages] flask = ”2.3.1” [dev-packages] [requires] python_version = "3.11" CVE-2023-30861 Flask vulnerable to possible disclosure of permanent session cookie due to missing Vary: Cookie header

  19. 19 脆弱性のあるライブラリに変えてから再度SBOM出⼒ Pipfileを修正後、Pipfile.lockを出し直し pipenv install SBOMを再出⼒ { "name": "flask", "SPDXID":

    "SPDXRef-Package-1900dc034389c35b", "versionInfo": "3.0.0", "supplier": "NOASSERTION", "downloadLocation": "NONE", "filesAnalyzed": false, "licenseConcluded": "NONE", "licenseDeclared": "NONE", { "name": "flask", "SPDXID": "SPDXRef-Package-2b8b83ad929a375a", "versionInfo": "2.3.1", "supplier": "NOASSERTION", "downloadLocation": "NONE", "filesAnalyzed": false, "licenseConcluded": "NONE", "licenseDeclared": "NONE", 1回⽬ 2回⽬ trivy fs ./ --format spdx-json --output spdx-json-by-trivy.json 出⼒結果

  20. 20 出⼒したSBOMを使って再検査 trivy sbom spdx-json-by-trivy.json 脆弱性が⾒つかる CVEも想定通り

  21. 21 TrivyによるSBOM出⼒と脆弱性検査、ここまでのまとめ • SBOMを出⼒することが可能 • これをいつでも提⽰可能にすることが、SBOM⽤いたソフトウェア コンポーネント管理のゴールの⼀つ • SBOMを受け取って、それを元に脆弱性検査が可能 •

    Trivyはホントは⾃前で⼀気に脆弱性検査をすることが可能 trivy fs ./

  22. Trivyは何を⾒て脆弱性を判定しているのか︖

  23. 23 Trivyの脆弱性データベース 12時間ごとに更新 Trivy - Datasource Nam / OS Source

    National Vulnerability Database NVD Arch Linux Vulnerable Issues Alpine Linux secdb Amazon Linux Amazon Linux Security Center Debian Security Bug Tracker OVAL Ubuntu Ubuntu CVE Tracker RHEL/CentOS OVAL Security Data 以下略

  24. 24 CVEとNVDとJVN 我々⽇本⼈がよく⽬にするのは、JVNだが、NVDもベースは同じなので⼤丈夫︕ CVE 共通脆弱性識別⼦ NVD National Vulnerability Database アメリカ国⽴標準技術研究所(NIST)

    JVN Japan Vulnerability Notes JPCERT/CCとIPAが共同で運営 連携 連携

  25. GitHub ActionsとTrivy

  26. 26 GitHub Actionsとは • ビルド、テスト、デプロイのパイプラインを⾃動化できる継続的イン テグレーションと継続的デリバリー (CI/CD) のプラットフォーム • ソース内に.github/workflowフォルダを作り、yamlを書くことで、

    プッシュ時に指定した⼀連のプロセスを⾛らせることができる . ├── .github │ └── workflows │ └── trivy-scan-fs.yml ├── Pipfile ├── Pipfile.lock └── app.py

  27. 27 ワークフローにTrivyによる脆弱性検査を⼊れる name: Trivy Vulnerability Scan on: push: branches: -

    main pull_request: jobs: build: name: Build runs-on: ubuntu-20.04 steps: - name: Checkout code uses: actions/checkout@v3 - name: Run Trivy vulnerability scanner in fs mode run: | # https://aquasecurity.github.io/trivy/v0.18.3/installation/ sudo apt-get install wget apt-transport-https gnupg lsb-release wget -qO - https://aquasecurity.github.io/trivy-repo/deb/public.key | sudo apt-key add - echo deb https://aquasecurity.github.io/trivy-repo/deb $(lsb_release -sc) main | sudo tee –a /etc/apt/sources.list.d/trivy.list sudo apt-get update sudo apt-get install trivy trivy fs ./ --exit-code 1 Trivyのインストール Trivyの実⾏ --exit-code 1で脆弱性ありなら、 異常終了させる

  28. 28 脆弱性を検知した時点で、ワークフローを中断可能

  29. 29 trivy-actionを⽤いればもっとスマート • trivy-action name: Trivy Vulnerability Scan by trivy-action

    on: push: branches: - main pull_request: jobs: build: name: Build runs-on: ubuntu-20.04 steps: - name: Checkout code uses: actions/checkout@v3 - name: Run Trivy vulnerability scanner in fs mode uses: aquasecurity/trivy-action@master with: scan-type: 'fsʼ scan-ref: '.ʼ trivy-config: trivy-config.yaml

  30. [脇道]GitHubのDependency graph

  31. 31 GitHubのDependency graph Dependency graphを有効にすると、 Trivyなしでもソフトウェアコンポーネントの検出と、 SBOM出⼒は可能

  32. 32 Dependency graphの対象はデフォルトブランチ • 現時点では、Dependency graphの対象はデフォルトブランチ • 結果的にだいたいmainブランチ • 複数ブランチ、プルリク時など、

    ソフトウェアコンポーネント検出と脆弱性検査のタイミングをコント ロールしたいなら、GitHub Actions+Trivyで棲み分け

  33. まとめ

  34. 34 まとめ • SBOMはソフトウェアコンポーネントの管理表 • ⽬的は管理コストの削減 • SBOMから脆弱性検査可能 • SBOM出⼒、脆弱性検査をCI/CDに組み込むことも可能

    • Trivyの脆弱性検知はNVDを使⽤、⼤元を辿ればCVE • Trivy⾃体は、シンプルなツールで、DevSecOpsの⼿始めとしておすすめ

  35. ご清聴ありがとうございました。

  36. None