NRI OSSソリューションマガジン(メールマガジン)


=======================================
※配信停止方法や配信対象等については、このメールの末尾をご覧ください。

                      2017.8.30発行   Vol.122
───────────────────────────────────
◆◇ NRI OSSソリューションマガジン
───────────────────────────────────

<注目のオープンソースな脆弱性チェックツールについて>

かなり暑い日が続いておりますが、体調などを崩されないように気をつけてください。
さて、今回のメルマガでは「脆弱性チェックツール」についてお話をさせていただきます。

この世に存在する様々なソフトウェアには「脆弱性」は存在すると考えています。
プロプラエタリなソフトウェア、オープンソースなソフトウェア、個別開発のソフトウェア
などに関係なくソフトウェアの脆弱性問題はつきまといます。

それぞれ機能や系統は異なるのですが、この脆弱性問題に対して、脆弱性チェックを支援
する代表的なオープンソースソフトウェアを少しだけ紹介します。

脆弱性検知ツール:Vuls(バルス)
脆弱性スキャナ:OpenVAS
アプリケーション脆弱性検知ツール:OWASP ZAP
アプリケーション脆弱性検知ツール:OWASP Benchmark

というオープンソースソフトウェアがあります。

最近では、OWASP(Open Web Application Security Projectの略)という組織が提供する
2つのツールで

SAST(静的アプリケーションセキュリティテスト)には、OWASP Benchmark、
DAST(動的アプリケーションセキュリティテスト)には、OWASP ZAP(Zed Attack Proxyの略)

というツールが注目されています。

このツールの活動状況はブラックダック社が運営する「オープンハブ」でも、その活発度合い
を確認することができます。
余談ですが、この「オープンハブ」はオープンソースソフトウェア開発の活動状況を調べるの
に便利な情報サービスで、現時点では誰でも無料で利用することができます。

ブラックダック社 オープンハブ
https://www.openhub.net/

OWASPでは、世界中のセキュリティ専門家たちによって診断の標準や規格などを策定しています。
その中で、重要なインパクトのある10の脆弱性についてまとめた、「OWASP Top 10」という
ものが3年に1度のペースで更新されるようです。

このTop10には、以下のような内容が示されています。

1)インジェクション
2)認証とセッション管理の不備	
3)クロスサイトスクリプティング(XSS)
4)安全でないオブジェクトへの参照
5)セキュリティ設定の不備
6)機密データの漏洩
7)機能レベルのアクセス制御
8)クロスサイトリクエストフォージェリ(CSRF)
9)既知の脆弱性を持つコンポーネントの使用
10)	未検証のリダイレクトとフォーワード

OWASP Top 10
https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

このようにグローバル・スタンダードな規格策定する組織のアプリケーション脆弱性検知
ツールを利用することで、信頼性の高い自己診断を行えるようになります。

ただし、開発した側やサービス提供する側が、検査した結果を公開しても信用させるとは
限らないため、マイナンバーなどを含む重大な個人情報や企業の機密情報などを取り扱う
システムなどには、第三者機関によるセキュリティ診断を行った方がよいでしょう。

NRIグループであるNRIセキュアテクノロジーズでは、情報システムセキュリティの維持・
向上を支援するサービスとして、様々なサービスを提供しています。
場合によっては、こちらの利用も検討することも良いかと思います。
https://www.nri-secure.co.jp/service/assessment/index.html

NRI OpenStandiaでは、サポート提供するオープンソースソフトウェアに対して、脆弱性が
発見された場合サポートポリシーに基づいて対応しています。

オープンソースソフトウェアの脆弱性対応に関しては、NRI OpenStandiaのOSSサポートを
ご検討ください。

★オープンソースソフトウェア年間サポート 
ココがすごい!7つのポイント
https://openstandia.jp/services/support_services.html

★NRI OpenStandiaが選ばれる5つの理由
https://openstandia.jp/oss/selected_reason.html

★Apache Struts 1.x 脆弱性対策
https://openstandia.jp/oss_info/struts/apachestruts-patch.html

今月号のメルマガもよろしくお願いします。

=============
■目次
=============
1.What's New
今月のOSS紹介の最新アップデート
・ついにLogstashが登場!

2.今月のOSS紹介サイト アクセスランキング TOP10
すでにTOP10に定着「Ruby on Rails」

■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
1.What's New
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□■
───────────────────────────────────
◆ OSS紹介ページアップデート
───────────────────────────────────
 NRI OpenStandiaでは注目されるオープンソースソフトウェアの概要から
 ライセンス、導入事例など様々な情報を紹介しています。
 
 今月のアップデート(新規:1件/更新:3件)
 
 (新規)
Logstash (https://openstandia.jp/oss_info/logstash/)
 
 (更新)
 PostgreSQL(https://openstandia.jp/oss_info/postgresql/)
 Git(https://openstandia.jp/oss_info/git/)
 Cassandra(https://openstandia.jp/oss_info/cassandra/)
 
※最新バージョン情報、関連ニュース情報は毎週発信しています。
※OpenStandiaのFacebook,Twitterをフォローください。

■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
2.今月のOSS紹介サイト アクセスランキング TOP10
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□■
オープンソース情報サイト「OpenStandia OSS紹介サイト」のアクセスTOP10を紹介
		
→	1位	(1位)	MySQL	(https://openstandia.jp//oss_info/mysql/)
→	2位	(2位)	CentOS	(https://openstandia.jp//oss_info/centos/)
↑	3位	(4位)	Apache http server	(https://openstandia.jp//oss_info/apache/)
↓	4位	(3位)	Tomcat	(https://openstandia.jp//oss_info/tomcat/)
→	5位	(5位)	php	(https://openstandia.jp//oss_info/php/)
↑	6位	(7位)	Spring	(https://openstandia.jp//oss_info/spring/)
↓	7位	(6位)	OpenAM	(https://openstandia.jp//oss_info/openam/)
↑	8位	(9位)	PostgreSQL	()https://openstandia.jp//oss_info/postgresql/
↑	9位	(10位)	Ruby on Rails	(https://openstandia.jp/oss_info/rubyonrails/)
↓	10位	(8位)	Struts	(https://openstandia.jp/oss_info/struts/)
※( )内は前月の順位

オープンソースソフトウェア総合情報サイト「OpenStandia OSS紹介」はコチラ
https://openstandia.jp/oss_info/

=========================================================
 OpenStandia年間サポートサービスのご相談は、以下からお問い合わせください。
 https://openstandia.jp/site/contact.html

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
編┃集┃後┃記┃
━┛━┛━┛━┛━━━━━━━━━━━━━━━━━━━━━━━━━━━
最後までご覧いただき、どうもありがとうございました。
「NRI OSSソリューションマガジン」をどうぞよろしくお願いいたします。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
NRI OpenStandiaのWebページからセミナー申込やお問い合わせ頂いたお客様、
NRIから委託されたOpenStandia営業と名刺交換をさせて頂いたお客様、
NRIが主催、共催、協賛するセミナー、イベントにご参加して頂いたお客様に
送付しております。

※注意事項・配信停止方法は以下のURLをご確認ください。
 https://openstandia.jp/site/mailmagazine.html

商品・サービスに関するお問い合わせ:ossc@nri.co.jp
OSSソリューションマガジンに関するお問い合わせ:magazine-ossc-ext@nri.co.jp
発信元:株式会社野村総合研究所 オープンソースソリューション推進室
https://openstandia.jp/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
  • OpenStandiaサポート対象オープンソース|50種類以上のOSSのサポートをご提供します。
  • 人気midPoint
  • 人気Keycloak
  • 注目MongoDB
  • ForgeRock AM(OpenAM)
  • ForgeRock IDM(OpenIDM)
  • Corosync
  • Postfix
  • Apache HTTP Server
  • ZABBIX
  • PostgreSQL
  • Apache Struts
  • Apache Kafka
  • Apache Hadoop
  • Apache Spark
  • Spring Framework
  • Apache Tomcat
  • Solr
  • iBATIS
  • DRBD
  • MySQL
  • JBoss
  • Ruby on Rails
  • Jaspersoft
  • OpenLDAP
  • Apache log4j
  • Apache Subversion
  • ForgeRock DS(OpenDJ)
  • Pacemaker
  • Samba
  • Red Hat Enterprise Linux
  • Nginx
  • BIND
  • Dovecot
  • Pentaho
  • sendmail
  • Courier-IMAP
  • ForgeRock DS(OpenDJ)
  • Heartbeat
  • Hibernate
  • Hinemos
  • MyBatis
  • MySQL Cluster
  • Apache Axis2
  • Squid
  • OpenSSO