あなたのサーバは本当に安全ですか？今もっともイケてる脆弱性検知ツールVulsを使ってみた - Qiita

はじめに サーバ管理をしている身としては、 セキュリティ は常に付きまとう悪魔みたいなもので、このセキュリティに関しては何をどこまで頑張ればいいのか不透明な部分が多い。 脆弱性に関しては、CVEなど、毎日情報は入ってくるが、それがどのサーバの何に関連したものなのかなんていちいち調べてられないし、どの脆弱性がすぐに対応しなければいけないもので、どの脆弱性があとあと対応すればいいものなのかなんてわからない。 実際のところ、大きな話題になった脆弱性くらいしか緊急で対応してないという人は多いのではないかと思う。 そんな中、満を持して登場したのが vuls !! 各サーバの脆弱性情報を取得して、個々のサーバそれぞれでどんな脆弱性があり、どのくらいやばい脆弱性なのかを検知できるようになった！ 今回はこのvulsを紹介します。 Vulsとは 公式でロゴが発表されたので、差し替えました 公式ドキュメント:

[yasunori]

“ロゴはなかったので個人的なイメージで適当に作りました”

[chopapapa]

あまり詳しく調べてないんだけどOpenVASとの特徴の違いは？

[narwhal]

はぁ？管理者に脆弱性対策をよびかけるのはセカンドヴァルネラビリティアタック。自衛は不可能。クラッカーは檻に入れておけという話だよ。

[n_231]

もっとバルス感溢れるロゴが欲しい

[fashi]

テストツールかと思ったらバージョンチェックするだけかな

[uva]

CVEとパッケージ情報の照らし合わせはどうやってるんだろう？

[yosida95]

勝手ロゴはせっかく OSS なんだから公式に取り込んでもらうか、公式に用意してもらったものを利用すればよかったのでは。さもなくば、ライセンスが明示されていないことも踏まえて、無用な混乱を招くだけだと思う。

[naga_sawa]

小規模環境だと daily cron とかで回してメール通知するような運用かな

[takaken1123]

[2016-05-12 17:16]

[lets_skeptic]

何らかの理由でyum updateできない環境（個々のパッケージのバージョンを管理しなきゃいけない環境）用のツールか。

[KeithYokoma]

バルス！

[raysato]

手軽さはMyJVNバージョンチェッカレベルなので、定期的に確認するにはよいかも。

[banana-umai]

どうしても滅びの呪文のイメージが

[mallowlabs]

バルス！

[yskn-beer]

イケてるな

[rochefort]

go get おわんない

[Nyoho]

ツール

[shin16884]

こういうのうまく使っていきたい。ここ数年、運用業務における脆弱性対応比率があがってるからなぁ。

[niship_0822]

ほほう。試してみたい。

[kasumani]

あなたのサーバは本当に安全ですか？今もっともイケてる脆弱性検知ツールVulsを使ってみた サーバ管理をしている身としては、 セキュリティ は常に付きまとう悪魔みたいなもので、このセキュリティに関しては何をどこ

[kinunori]

今日中に試す

[koheisg]

良さそう！！

[nekotricolor]

2016/04/29

[s99e209]

個々のサーバそれぞれでどんな脆弱性があり、どのくらいやばい脆弱性なのかを検知できるツール「vuls」

[t_motooka]

テスト環境のサーバを監視させる、みたいな運用が良いのかな。

[typester]

あとでみる

[kentana20]

良さそう！

[xiwqpwix]

いれる

[kojiro-s]

セキュリティチェック？

[a-know]

使ってみようかな

[C_L]

監査対象ホストにsshリモートログインしてyumの未適用パッケージリストを取得してCVEと突き合わせる yum check-updateのsshリモート実行権限あたりで変な込み入ったことになってる

[sdxcv]

https://www.reddit.com/r/Eventtonight/

[nilab]

「go-cve-dictionaryを使って、CVE情報を取得」「脆弱性検知結果をslackやメールで送信できる」「Golangで作られているので、バイナリ化すればどのサーバにも配布できる」