2020-07-03
今回のリリースでは以下の変更が入りました。
アプリケーション依存ライブラリの脆弱性スキャン機能強化#
本機能を利用するためにはFutureVulsのスキャナを v0.10.0 にアップデートする必要があります。 アップデート手順、バージョンの確認方法はスキャナを参照して下さい
OSパッケージの脆弱性だけではなく、アプリケーション依存ライブラリの脆弱性も日々公開されており、リスクの高いものはスピーディーに対応していく必要があります。 FutureVulsではこれまで以下の方法で依存ライブラリの脆弱性検知をサポートしていました。
今回のリリースにて、サーバ上に配置されているLockfileのパスを指定して依存ライブラリの脆弱性をスキャンすることが可能となりました。
2020年7月3日時点でスキャン可能なLockfileは以下の通りです。(JavaはGitHub Security Alerts連携をご利用下さい)
| Lang | lockfile |
|---|---|
| Ruby | Gemfile.lock |
| Python | Pipfile.lock, poetry.lock |
| PHP | composer.lock |
| Node.js | package-lock.json, yarn.lock |
| Rust | Cargo.lock |
本機能はローカルスキャン、リモートスキャンの両方に対応しています。
ローカルスキャンの動作#
config.tomlに、スキャン対象のLockFileのパスを指定します。scan時に指定されたパスのLockfileを解析し依存ライブラリのリストを取得します。
リモートスキャンの動作#
config.tomlに、スキャン対象サーバ上のLockFileのパスを指定します。scan時にSSHで接続したリモートサーバの指定したパスのLockfileを解析し、依存ライブラリのリストを取得します。
設定方法#
/opt/vuls-saas/config.tomlにlockfileのパスを指定して下さい。
[servers]
[servers.sample]
user = "vuls-saas"
host = "localhost"
port = "local"
findLock = true # auto detect lockfile
lockfiles = [
"/home/user/lockfiles/package-lock.json",
"/home/user/lockfiles/Gemfile.lock",
"/home/user/lockfiles/yarn.lock"
]
- スキャン後のパッケージは、OSパッケージ同様、ソフトウェアとタスクに表示される
本機能を利用するためにはFutureVulsのスキャナを v0.10.0 にアップデートする必要があります。 アップデート手順、バージョンの確認方法はスキャナを参照して下さい
trivy連携の改良#
- CI/CDパイプラインでのDockerイメージのスキャンが可能なtrivy連携でスキャンした場合に、Dockerイメージ内の依存ライブラリ情報が画面に表示される様になりました
サーバ一覧に補足情報を表示可能に#
- サーバ詳細画面にて、サーバの任意の補足情報を登録可能となりました。
- 追加された補足情報はサーバ一覧と詳細ページにて確認できます。
サーバ一のタグを一括登録可能に#
- サーバ一覧にて複数選択後、「サーバを編集」ボタンよりサーバタグを一括登録可能になりました。
バグフィックス#
- グループ設定のスキャン履歴でスキャナのバージョンが取得できていない問題を修正
- スキャンの履歴にて、スキャナのバージョンが取得されていない問題があったので、修正しました。
- 今後のスキャンではスキャナイメージが表示される様になります。