Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Trivy + Regoを用いたパッケージ脆弱性管理 /trivy-rego
Search
Masayoshi Mizutani
December 14, 2021
Technology
7
4.3k
Trivy + Regoを用いたパッケージ脆弱性管理 /trivy-rego
2021.12.14 (Tue) Ubie Tech Talk で発表した資料です
Masayoshi Mizutani
December 14, 2021
Tweet
Share
More Decks by Masayoshi Mizutani
See All by Masayoshi Mizutani
汎用ポリシー言語Rego + OPAと認可・検証事例の紹介 / Introduction Rego & OPA for authorization and validation
mizutani
1
540
Ubieにおけるセキュリティ課題管理の自動化 / ubie-sec-issue-automation
mizutani
0
790
リモートワークを支える 社内セキュリティ基盤の構築と運用 /secueiry-for-wfh
mizutani
0
680
SOARによるセキュリティ監視業務の効率化とSecOps /soar-and-secops
mizutani
1
1.1k
Amazon Athena を使った セキュリティログ検索基盤の構築 /seclog-athena
mizutani
5
2.8k
Webサービス事業会社におけるEDRの検討と導入の事例 /falcon2019
mizutani
1
730
AWS re:Inforce recap 2019
mizutani
1
4.2k
スケーラブルなセキュリティ監視基盤の作り方 /techconf2019-mizutani
mizutani
3
3.2k
Webサービス事業会社におけるEDRの検討と導入の事例 /falconday201812
mizutani
3
2.3k
Other Decks in Technology
See All in Technology
DUSt3R, MASt3R, MASt3R-SfM にみる3D基盤モデル
spatial_ai_network
2
110
OpenAIの蒸留機能(Model Distillation)を使用して運用中のLLMのコストを削減する取り組み
pharma_x_tech
4
560
Storage Browser for Amazon S3
miu_crescent
1
140
ずっと昔に Star をつけたはずの思い出せない GitHub リポジトリを見つけたい!
rokuosan
0
150
DevOps視点でAWS re:invent2024の新サービス・アプデを振り返ってみた
oshanqq
0
180
Fanstaの1年を大解剖! 一人SREはどこまでできるのか!?
syossan27
2
170
大幅アップデートされたRagas v0.2をキャッチアップ
os1ma
2
530
組織に自動テストを書く文化を根付かせる戦略(2024冬版) / Building Automated Test Culture 2024 Winter Edition
twada
PRO
13
3.8k
PHPからGoへのマイグレーション for DMMアフィリエイト
yabakokobayashi
1
170
20241214_WACATE2024冬_テスト設計技法をチョット俯瞰してみよう
kzsuzuki
3
450
LINEスキマニにおけるフロントエンド開発
lycorptech_jp
PRO
0
330
宇宙ベンチャーにおける最近の情シス取り組みについて
axelmizu
0
110
Featured
See All Featured
Music & Morning Musume
bryan
46
6.2k
Making the Leap to Tech Lead
cromwellryan
133
9k
Building Better People: How to give real-time feedback that sticks.
wjessup
365
19k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
232
17k
Reflections from 52 weeks, 52 projects
jeffersonlam
347
20k
StorybookのUI Testing Handbookを読んだ
zakiyama
27
5.3k
A designer walks into a library…
pauljervisheath
204
24k
Making Projects Easy
brettharned
116
5.9k
Building an army of robots
kneath
302
44k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
28
9.1k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
169
50k
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
656
59k
Transcript
Trivy + Regoを用いたパッケージ脆弱性管理 Ubie株式会社 水谷 正慶 Ubie Tech Talk 2021.12.14
(Tue)
Confidential 2 会社概要 自己紹介 水谷 正慶(@m_mizutani) Ubie Discovery セキュリティエンジニア 略歴:
2011/4~ 日本IBM(東京基礎研究所、SOC) 2017/10~ Cookpad株式会社 2021/09~ Ubie株式会社
医師を目指し、起業するまで 外部パッケージの 脆弱性管理
Confidential 4 会社概要 現代のWebサービス開発 • 3rd party(主にOSS)パッケージの多大な恩恵 ◦ サービスの機能やフレームワークとして利用 ◦
開発用ツールとしての利用 • エコシステムの発展により依存関係が膨張 ◦ 1プロダクトあたり多いと数百〜数千パッケージへの依存 ◦ 利用パッケージがさらに別のパッケージに依存する
Confidential 5 会社概要 脆弱性の発見と対応 • パッケージ脆弱性の情報は取得しやすくなっている ◦ メディアの発展による脆弱性情報の流通 ◦ 脆弱性を検査するためのツールが充実
◦ Continuous Integratoin (CI) などの文化が広がりサー ビスも増えてきた • それによって既知の脆弱性は駆逐されたか? ◦ → 残念ながらそうでもない
医師を目指し、起業するまで なぜ既知の脆弱性を駆逐 できないのか?
Confidential 7 会社概要 課題1) 修正版がリリースされない • 外部パッケージなのでリリースタイミングをコントロールできな い ◦ 特にOSSの場合はコントリビュータの都合に依存する
◦ PR含む要望をだすことはできるが、取り入れられるかは 状況次第 • 依存関係の先のパッケージが脆弱な場合、依存元と依存先の すべてのパッケージが要対応
Confidential 8 会社概要 課題2) 更新によってプロダクトに破壊的変更が起きる(かも) • 必ずしも起きるとは限らないが検証は必要 • 破壊的変更が発生する場合は修正も必要 •
直ちに影響がないと見られる脆弱性についてはどうしても優先 順位が下がってしまう
Confidential 9 会社概要 課題3) パッケージ更新以外の方法で緩和されている • 脆弱性によっては外的要因によってリスクを低減できる ◦ 例) サーバ設定の変更
◦ 例) WAFなどのフィルタリング • 緩和した後、一定期間後に修正すべきなのか・長期的にその まま運用するのかという判断が必要 ◦ 判断の結果とツールの検査結果が紐付いて欲しい
医師を目指し、起業するまで ということで脆弱性の 「管理」が必要
Confidential 11 会社概要 要件1) プロダクト・脆弱性ごとに状態を管理したい • すぐに修正できない脆弱性の状態を管理 ◦ なぜ修正しない・できないか? ◦
いつまで様子見するか? • アップデートできないパッケージについて警告などをだしたくな い ◦ 無用な警告はノイズとなり、本来見るべき警告を見落とし てしまう
Confidential 12 会社概要 要件2) 組織全体で脆弱性の管理を統制したい • 全体の状況を把握したい ◦ どのような脆弱性があるか ◦
新しく検出された脆弱性があるか • 独自の脆弱性の評価が必要 ◦ 外部で評価された深刻度(CVSSなど)はブレがある ◦ 内部的にも脆弱性の特性を確認していく必要がある
Confidential 13 会社概要 要件3) 判定やCIの結果をカスタマイズしたい • 脆弱性の扱いを単純なルールで表現するのは困難 ◦ 複数の条件の組み合わせや例外の設定 ◦
Pass/Failだけでなく緊急度の判定などもやりたい • 脆弱性だけでなくプロダクト側の文脈も必要 ◦ 外部に公開しているプロダクトか? ◦ インターネットから直接アクセスできるか?
医師を目指し、起業するまで ということで
Confidential 15 会社概要 Octovy https://github.com/m-mizutani/octovy
Confidential 16 会社概要 Octovy • GitHub AppでソースコードをTrivyでスキャン • 脆弱性を検出したパッケージごとに対応状況を管理 •
リポジトリ・脆弱性に任意のラベルを付与可能 ◦ 例: m-mizutani/some-product → “外部公開” ◦ 例: CVE-2021-0000 → “Critical” • OPA/Regoを使うことで自由にCIの結果を制御 https://github.com/m-mizutani/octovy
Confidential 17 会社概要 OPA/Regoについて • OPA: ポリシーエンジン(サーバ or Go言語組み込み) •
Rego: ポリシー記述言語 • 「入力したJSONをポリシーに従って自由に判定・変換する」 • テスト可能かつ汎用的な判定エンジンとして利用可能
Confidential 18 会社概要 リポジトリごとの設定 https://github.com/m-mizutani/octovy 脆弱性の状態を 個別に管理可能 リポジトリの性質を 管理可能
Confidential 19 会社概要 アーキテクチャ ・検出した脆弱性情報 ・リポジトリ情報 ・パッケージ一覧情報 ・commitに関する情報
Confidential 20 会社概要 ポリシー管理 on GitHub
Confidential 21 会社概要 ポリシーの例 CriticalならFail Highかつ外部公開 ならFail msgを集計して conclusionを返す
Confidential 22 会社概要 Regoのテスト 特に問題ないテストデータ Criticalを含むテスト データ High & publicを含
むテストデータ High だけを含む テストデータ
Confidential 23 会社概要 Future Work 社内の様々なポリシーを集約し コードベースかつテスト可能な 管理にしていく
Confidential 24 会社概要 宣伝:OPA/Rego Advent Calender 2021 https://adventar.org/calendars/6601 • OPA概論
• Policy as Codeとは • Regoの基礎(概要編) • Regoの基礎(PolicyとData) • Regoの基礎(結果の出力編) • Regoの基礎(イテレーション編) • Regoの基礎(パッケージ編) • Regoの基礎(Safety) ︙ 以下、順次公開予定
Confidential 25 会社概要 まとめ • 社内プロダクトで利用しているパッケージ情報を俯瞰すること でリスクの把握・コントロールを用意にする • OPA/RegoによるPolicy as
Codeによる恩恵 ◦ 柔軟で自由なルールを記述できる ◦ テスト可能なので管理がしやすい ◦ コード管理により複数人で知見の共有ができる
Confidential 26 会社概要 セキュリティエンジニア募集 https://recruit.ubie.life/jd_dev/eng_productsec https://recruit.ubie.life/jd_dev/corp_sec コーポレートエンジニア (Security Administrator) ソフトウェアエンジニア
(Product Security) Ubieで一緒にセキュリティをエンジニアリングしていく 仲間を募集しています