Linux OSパッケージスキャン

Linux OSパッケージスキャン

2021年5月現在、Linuxのパッケージマネージャ管理下のソフトウェアの脆弱性は以下の方法で可能です。

  • Vulsスキャン
  • trivyスキャン(Dockerイメージ)
  • ペーストスキャン

それぞれの特徴を説明します。

Vulsスキャン

Vulsのスキャナ経由でスキャンし構成情報をクラウドサービスにアップロードする方法です。

の2種類のスキャンモードがあります。 Vulsスキャナではパッケージ情報だけではなく、トリアージに必要な情報も取得します。他と比べて一番情報量が多いスキャン方法です。

  • ポート開放
  • プロセス起動情報
  • OS,プロセス再起動漏れ検知

trivyスキャン

コンテナレジストリにあるイメージは、trivyを用いて検知し、FutureVulsにアップロードする方法がおすすめです。CI/CDパイプラインに組み込みも可能です。

ペーストスキャン

  • インターネットから隔離された環境
  • スキャナプログラムをサーバにインストールできない環境

のような、FutureVulsのスキャナの導入が難しかった環境をサポートします。

サーバ上でいくつかのコマンドを実行し、結果をFutureVuls画面上にペーストするだけで登録完了です。 以下のステップで簡単に登録できます。

  • 「PASTEサーバ追加」ボタンを押下
  • サーバ名を入力
  • OSの種類を選択
  • OSのバージョン情報をペースト
  • 実行中のカーネルリリースの情報をペースト
  • インストールされたパッケージリストをペースト

「PASTEサーバ追加」ボタン image

サーバ名・OSの種類などを入力・ペースト image

インストールされたパッケージリストをペースト image

登録後は画面上から手動スキャンすることで、実機にアクセスすることなく、新規公開された脆弱性を検知可能です。

該当サーバのパッケージをアップデートして構成情報を変更した場合は、サーバ詳細画面内のサーバ情報 > 「編集」ボタンから更新してください。

次回のスキャンでは、更新された構成情報を元に検知処理が実行されます。また、パッケージアップデートにより解消されたタスクは「Patch_Applied」ステータスに自動変更されます。

2021年5月現在、Pasteサーバは以下のOSをサポートしています。

  • RHEL
  • CentOS
  • Amazon Linux
  • Ubuntu
  • Debian

OSパッケージスキャンの仕組み

Linuxのパッケージはバックポートの仕組みでアップデートが提供されます。 FutureVulsでは、Linuxディストリビューターが提供するSecurity TrackerやOVALを用いて検知処理を行います。 これらの脆弱性DBは、各OSに対応する「実際にバックポートされたバージョン番号」が書かれているため、正確に検知できます。

各スキャン方法の詳細な検知ロジックはOSSのソースコードを参照してください。

また、OSやパッケージのCPEを登録して正確に脆弱性を検知できますか、とよく質問されます。 以下の理由により誤検知が多発するためOSパッケージはCPEスキャンでは非推奨です。 詳細をFAQ>CPEスキャンに記載しましたので気になる方は一読ください。