• IaCのセキュリティスキャンツール「Checkov」のご紹介
• OSS紹介ページ 今月のアップデート
• OSS紹介ページ 今月のアクセスランキング
• 今月注目のバグ&セキュリティ情報

1.IaCのセキュリティスキャンツール「Checkov」のご紹介

皆さんはIaC (Infrastructure as Code) という言葉をご存じでしょうか？
IaCはクラウドやサーバーのインフラ構成をプログラムコードとして管理する手法です。
近年、IaCの導入が進むにつれ、セキュリティの観点からコードの安全性を確保する必要が高まっています。
IaCのセキュリティツールはさまざまありますが、今回はその一つである「Checkov」をご紹介します。

Checkovは、主にTerraformやCloudFormation、KubernetesのYAMLマニフェストなど、さまざまなIaCのコードを解析し、脆弱性や設定ミスを発見するツールです。
Checkovを使用することで、IaCコードに潜むセキュリティリスクを早期に発見し、本番環境での障害やセキュリティ侵害を未然に防ぐことが可能になります。

Checkovはオープンソースとして提供されており、誰でも自由に利用できます。
コードベースでインフラ構成を記述するIaCでは、定義された構成が本当に安全かどうかを確認することが重要です。
Checkovは、数百におよぶセキュリティチェックを備え、以下のようなリスクを検出します。

・不適切なアクセス権限：リソースに不必要な権限が付与されていないか確認
・暗号化の不足：データが暗号化されているかの確認
・ネットワーク設定のリスク：公開されるべきでないネットワークが公開されていないかの確認
・CI/CDとの統合：CheckovはCI/CDパイプラインに統合することが可能で、コードがデプロイされる前に自動でスキャンが実行されます。これにより、開発初期段階からセキュリティ対策を取り入れるアプローチが実現でき、セキュリティリスクを本番環境に持ち込む前に修正できます。

IaCは、その利便性とスピード感から今後ますます普及すると予想されます。
しかしその反面、コードベースのインフラには新たなセキュリティリスクが生じることも事実です。
Checkovを導入することで、これらのリスクを軽減しより安全なIaC環境を構築できるでしょう。

IaCを導入される際には、Checkovのようなセキュリティスキャンツールの活用を検討されてみてはいかがでしょうか。

Checkov
https://www.checkov.io/


OpenStandiaではOSSの技術サポートを提供しています。
現在のサポート対象OSSは下記OpenStandiaサイトから確認できます。

◆OpenStandiaサポート対象OSS一覧
https://openstandia.jp/services/#supportlist

2.OSS紹介ページ 今月のアップデート（新規：3件、更新：4件）

（新規）
gRPC-Gateway (https://openstandia.jp/oss_info/grpc_gateway/)
Kustomize (https://openstandia.jp/oss_info/kustomize/)
Spring Data Redis (https://openstandia.jp/oss_info/spring_data_redis/)

（更新）
Apache Tomcat (https://openstandia.jp/oss_info/tomcat/)
containerd (https://openstandia.jp/oss_info/containerd/)
Kubernetes (https://openstandia.jp/oss_info/kubernetes/)
MyBatis (https://openstandia.jp/oss_info/mybatis/)

3.OSS紹介ページ 今月のアクセスランキングTOP10

オープンソース情報ページ「OpenStandia OSS紹介」のアクセスTOP10をご紹介

↑ 1位 (2位) Apache Tomcat (https://openstandia.jp/oss_info/tomcat/)
↑ 2位 (3位) PostgreSQL (https://openstandia.jp/oss_info/postgresql/)
↑ 3位 (4位) Apache HTTP Server (https://openstandia.jp/oss_info/apache/)
↑ 4位 (7位) Nginx (https://openstandia.jp/oss_info/nginx/)
↑ 5位 (6位) Spring Framework (https://openstandia.jp/oss_info/spring/)
↓ 6位 (1位) Keycloak (https://openstandia.jp/oss_info/keycloak/)
↑ 7位 (ランク外) MySQL (https://openstandia.jp/oss_info/mysql/)
↑ 8位 (9位) Red Hat Enterprise Linux (https://openstandia.jp/oss_info/redhatenterpriselinux/)
↓ 9位 (8位) PHP (https://openstandia.jp/oss_info/php/)
↑ 10位 (ランク外) Zabbix (https://openstandia.jp/oss_info/zabbix/)

※( )内は前月の順位


◆OSS総合情報ページ「OpenStandia OSS紹介」はこちら
https://openstandia.jp/oss_info/

4.今月注目のバグ&セキュリティ情報

【Zabbix】 user.get API での SQL インジェクション (CVE-2024-42327)

Zabbix フロントエンドのデフォルトのユーザーロール、または API アクセスを許可するその他のロールを持つ管理者以外のユーザーアカウントは、この脆弱性を悪用する可能性があります。

addRelatedObjects 関数の CUser クラスに SQLi が存在し、この関数は、API アクセス権を持つすべてのユーザーが使用できる CUser.get 関数から呼び出されます。

本脆弱性の影響を受ける環境は下記となります。

　・Zabbix
　　6.0.0～6.0.31 より前
　　6.4.0～6.4.16 より前
　　7.0.0

関連情報
・National Vulnerability Database
　https://nvd.nist.gov/vuln/detail/CVE-2024-42327

・Common Vulnerabilities and Exposures (CVE)
　https://www.cve.org/CVERecord?id=CVE-2024-42327

◆OpenStandiaオープンソース年間サポートサービスのご紹介
https://openstandia.jp/services/

• NRI OSSソリューションマガジン（メールマガジン）トップへ