2020-07-03 リリース内容

今回のリリースでは以下の変更を行いました。

アプリケーション依存ライブラリの脆弱性スキャン機能強化

OSパッケージの脆弱性だけではなく、アプリケーション依存ライブラリの脆弱性も日々公開されており、リスクの高いものはスピーディーに対応していく必要があります。 FutureVulsではこれまで以下の方法で依存ライブラリの脆弱性検知をサポートしていました。

今回のリリースにて、サーバ上に配置されているLockfileのパスを指定して依存ライブラリの脆弱性をスキャンすることが可能となりました。

2020年7月3日時点でスキャン可能なLockfileは以下の通りです。(JavaはGitHub Security Alerts連携をご利用下さい)

Lang lockfile
Ruby Gemfile.lock
Python Pipfile.lock, poetry.lock
PHP composer.lock
Node.js package-lock.json, yarn.lock
Rust Cargo.lock

本機能はローカルスキャン、リモートスキャンの両方に対応しています。

ローカルスキャンの動作

config.tomlに、スキャン対象のLockFileのパスを指定します。scan時に指定されたパスのLockfileを解析し依存ライブラリのリストを取得します。

lockfile-local

リモートスキャンの動作

config.tomlに、スキャン対象サーバ上のLockFileのパスを指定します。scan時にSSHで接続したリモートサーバの指定したパスのLockfileを解析し、依存ライブラリのリストを取得します。

lockfile-remote

設定方法

/opt/vuls-saas/config.tomlにlockfileのパスを指定して下さい。

[servers]

[servers.sample]
user = "vuls-saas"
host = "localhost"
port = "local"
findLock = true # auto detect lockfile
lockfiles = [
  "/home/user/lockfiles/package-lock.json",
  "/home/user/lockfiles/Gemfile.lock",
  "/home/user/lockfiles/yarn.lock"
]
  • スキャン後のパッケージは、OSパッケージ同様、ソフトウェアとタスクに表示される
  • image
  • image

trivy連携の改良

  • CI/CDパイプラインでのDockerイメージのスキャンが可能なtrivy連携でスキャンした場合に、Dockerイメージ内の依存ライブラリ情報が画面に表示される様になりました

サーバ一覧に補足情報を表示可能に

  • サーバ詳細画面にて、サーバの任意の補足情報を登録可能となりました。
  • 追加された補足情報はサーバ一覧と詳細ページにて確認することが可能です。
  • image

サーバ一のタグを一括登録可能に

  • サーバ一覧にて複数選択後、「サーバを編集」ボタンよりサーバタグを一括登録可能になりました。

バグフィックス

  • グループ設定のスキャン履歴でスキャナのバージョンが取得できていない問題を修正
  • スキャンの履歴にて、スキャナのバージョンが取得されていない問題があったので、修正しました。
  • 今後のスキャンではスキャナイメージが表示される様になります。