2019-02-21

今回のリリースでは以下の変更が入りました。

機能追加

GitHub Security Alertsと連携しライブラリの脆弱性をより賢く管理できるようになりました

GitHubにはライブラリの脆弱性検知機能が標準で提供されています。ドキュメント。今回、FutureVuls上で指定したGitHubリポジトリで検知された脆弱性を取り込み、FutureVuls上で管理することが可能となりました。 手順は、

• GitHubトークンを発行する
• グループ管理者が、グループ設定>外部連携より、グループに対してGitHubトークンを登録する
• サーバ>詳細より連携したいGitHubの オーナ/リポジトリ名 と、トークンを登録する。（実サーバにも、擬似サーバにも紐づけは可能）

具体的な手順は以下の通りです。

• Edit personal access tokenよりGitHubのトークンを発行する（参考: GitHub「Personal access tokens」の設定方法）

• グループ管理者権限ユーザが>グループ設定>外部連携より上記で登録したトークンをグループに対して登録する

• サーバ>詳細より、連携したいGitHubリポジトリとトークンを選択する

• 実サーバの場合は次回スキャン時に連携される。擬似サーバの場合は 手動スキャン ボタン押下により即時で反映される

• サーバ>ソフトウェアに該当のライブラリが表示される

CVSSスコア再計算の項目を保存してグループ内で共有できるようになりました

CVSSは、基本評価基準, 現状評価基準, 環境評価基準 の３つから構成され 現状評価基準 と 環境評価基準 を用いて適切なスコアに再計算できます。 具体的には、現状評価基準 で その時の攻撃コードの公開状況やパッチ提供状況 に合わせたスコアを、また、環境評価基準 で システムの置かれている環境 に合わせて再計算できます。 現時点の状況、環境に即した値である、再計算後のスコアをもとにパッチ適用判断やワークアラウンドでの対応など、緊急度の目安にできます。 今回のバージョンアップにより、再計算した結果を保存が可能になったことでグループ内のメンバ間で再計算後のスコアを保存、共有することが可能となりました。

基本評価基準, 現状評価基準, 環境評価基準の詳細は共通脆弱性評価システムCVSS v3概説を参照ください。

現時点では 現状評価基準 の項目はグループ内に閉じて保存されますが、近い将来グループ間で共有できるようになる予定です。