今回はソフトウェアエンジニアじゃない人や学生にも、ソフトウェアエンジニアという職業には夢があるかもしれないと思ってもらうために書いています。そのため既に詳しい方からすると回りくどい説明も多いと思いますがご容赦下さい。 基本的に記事とかには技術的なことしか書かないスタンスでやってきましたが、今回の件はさすがに誰かに伝えておくべきだろうということで長々と垂れ流しました。 概要 GW中に趣味で開発したソフトウェアを無料で公開したところAqua Securityという海外企業(アメリカとイスラエルが本社)から買収の申し出を受け、最終的に譲渡したという話です。さらに譲渡するだけでなく、Aqua Securityの社員として雇われて自分のソフトウェア開発を続けることになっています。つまり趣味でやっていたことを仕事として続けるということになります。 少なくとも自分の知る限り一個人で開発していたソフトウェ
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
前から思ってたことをちょっと書かずにいられなくなったのでポエムを書きました。 背景 問題 検知している方が正しいように見えがち 条件を揃えるのが難しい 環境の再現が難しい 検知数が多い方が良さそうに見える 正解かどうかの判断が難しい カバー範囲の正確な見極めが難しい 検知されないほうが嬉しい まとめ 背景 お前誰だよってなるかもしれないので書いておくと、Trivyという脆弱性スキャナーのメンテナをやっています。 github.com とある有名な方による以下のツイートがありました。 I just discovered, during @cloudflare #SecurityWeek no less, that Trivy (the vuln scanner) doesn't detect known issues in Alpine images. Including a critica
こんにちは、臼田です。 皆さん、WAFWAFしてますか?(挨拶 今回はタイトル通りAWS WAFを完全に理解するための情報を全部詰め込んだブログです。長いです。 そもそもWAFってなんだっけ?という話から初めて「全部理解した」と言えるようになるまでをまとめています。直近AWS WAF v2がリリースされたため、この変更点を中心に機能の説明をします。 Developers.IOではWAFを扱った記事がたくさんあるので、細かいところはブログを引用します。いわゆる元気玉ブログです。 おさらい的な部分も多いので変更点が気になる方は適当に飛ばしてください。 そもそもWAFとは AWS WAFの前にWAFの話をします。WAFはWeb Application Firewallの略でWebアプリケーションを保護するためのソリューションです。 一般的なWebアプリケーションに対する攻撃手法としてSQLインジ
コンテナイメージのレジストリでは、脆弱性検査の実装が当たり前になっている。企業でKubernetesなどコンテナを使用するにあたって脆弱性対策がどれほど重要なものか理解するために、脆弱性検査や、関連する国際的な標準について整理した。 脆弱性(ぜいじゃくせい)とは 脆弱性とは、プログラムの動作の不備を悪用される情報セキュリティ上の弱点である。つまり、ソフトウェア上の問題が原因となって生じた欠陥であり、セキュリティホールとも呼ばれる。当然、ソフトウェア開発者は、脆弱性を産まないように細心の注意を払ってコード開発を進めるが、開発者が利用するオペレーティングシステムのライブラリやパッケージに含まれることもある。そのような事情から、開発者の責任範囲外に原因がある場合も多くある。 潜在的な脆弱性を突いた新たなクラッキングの手口が、時間の経過ともに発見される。そのことから、開発当初はコードに脆弱性は無い
本稿では、基本的なDissectorの作り方と、Dissectorを活用したパケット解析方法を紹介します。 WiresharkのDissectorをご存知でしょうか?DissectorはWiresharkのプロトコル解析部分で、バイト列を人が理解できる内容に変換し表示してくれます。 Wiresharkを使った事がある方なら、独自プロトコルのバイト列を人が理解できる表示にできないかなぁと思った経験があると思います。 Dissectorを自作しPluginとして追加すると独自プロトコル解析が容易になります。 なぜ今Dissectorを紹介するの? 技術部の安井です。 長年、制御システムを開発した経験から、現在は制御システムセキュリティを見ています。 現在、世の中の多くのプロトコルに対応したDissectorがWiresharkに搭載されています。しかし、制御システムやIoT機器など独自プロトコ
Microsoft、ソースコード解析ツール「Microsoft Application Inspector」をオープンソースで公開
「Microsoft Application Inspector」は、ソースコードにおける暗号化やリモートのエンティティへの接続、実行されるプラットフォームといった挙動を見つけられるツールで、複雑なプログラミング手法の検出や、人間では見つけにくいプログラムの挙動を特定できる。 大規模なプログラムの解析も可能で、複数の異なるプログラミング言語によって構成された、数百万行にも及ぶソースコードの解析にも対応している。 「Microsoft Application Inspector」を使用すれば、コンポーネントのバージョン間での機能変更も識別できるため、バックドアの検出に役立つ。さらに、リスクの高いコンポーネントや、追加の精査が必要なコンポーネントの特定にも使える。 検査結果は、JSONやインタラクティブHTMLを含む複数の形式でレポートを生成可能で、ソースコードから特定された機能が一覧表示され
早め早めの脆弱性対策! 開発チームでできるアプリとサーバのセキュリティ診断と要件定義の作り方|ハイクラス転職・求人情報サイト AMBI(アンビ)
早め早めの脆弱性対策! 開発チームでできるアプリとサーバのセキュリティ診断と要件定義の作り方 Webセキュリティ対策はなにかと面倒ですが、昨今はフレームワークが脆弱性に対応するなど、プログラミングは効率的になっています。その上でサービス全体の安全のため、開発チームがすぐ実施できるWebセキュリティ診断と要件定義について解説します。 こんにちは、松本(@ym405nm)です。 みなさんは業務やコミュニティ、趣味などでWebサイト作ってますか? SEO対策、ユーザビリティ、レスポンジブル、オートスケールなどなど、Webサイトを1つ作るだけでもさまざまな技術や考え方が必要であり、非常に奥深いものであるということは、このエンジニアHubの記事の多さが物語っているのではないでしょうか。 その中でもWebサイト開発者・運用者を悩ませるのは、Webセキュリティです。この記事では、開発フェーズから試すこと
「そのコンテナ、安全ですか?」〜AWS x DevSecOpsで実践するコンテナセキュリティ〜 / Is that container safe?
「そのコンテナ、安全ですか?」〜AWS x DevSecOpsで実践するコンテナセキュリティ〜 / Is that container safe?
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session.
先日、VMware上で動かしていたKali Linuxが突然エラーで起動できなくなりました。 コマンドラインだけならログインできるんですが、GUI操作ができず復旧が絶望的なので一からKali LinuxをInstallし直すことにしました。 その際、せっかくなので自分がVulnhubやHTBを攻略するうえで便利だと思って使っていて、かつKali Linuxにデフォルトで入っていないけど有用なツールをまとめたいと思います。 完全に個人の意見なので、参考までにどうぞ! ちなみに、niktoやgobusterといったツールはめちゃくちゃ使いますがデフォルトでInstallされているため省略します。 Information Gatering AutoRecon onetwopunch Parsero smbver.sh FindSMB2UPTime.py impacket oracle(sqlpl
概要 2019/05/22 CIのcron設定について注意事項を追記 コンテナの脆弱性スキャナを作ったので紹介します。ここでの脆弱性はWebサービスの脆弱性診断で見つかるようなタイプのものではなく、セキュリティアップデートが提供されるようなものを指しています。重ねて説明しますが脆弱性診断で見つけるような脆弱性ではなく、CVE-IDなどが付与される脆弱性です。 まず最初に、ツールは以下にあります。 https://github.com/knqyf263/trivy CIで簡単に使えるように1コマンドで実行可能なものにしました。ただイメージ名を指定するだけで利用可能です。 これだけです。イメージ名を指定すれば勝手にレジストリから取得するので手元にイメージがある必要はなく、それもDockerコマンドに依存せず実装してあるので実はDockerのインストールも不要です。 AWS/GCR等のプライベー
GitHub - secretlint/secretlint: Pluggable linting tool to prevent committing credential.
A tag already exists with the provided branch name. Many Git commands accept both tag and branch names, so creating this branch may cause unexpected behavior. Are you sure you want to create this branch?
はじめに 先日のIgniteでまたもやMicrosoftのセキュリティ製品の名称が代わりました。今年に入って、2回!! ただ、今回の名称変更はAzureと言う名前をMicrosoftと変える事で 「Azureに限定した製品ではなくハイブリッドクラウド/マルチクラウド対応」 という点を強く押し出した意図も想像できます。最近のMSのセキュリティ製品は例えばEDRもMacやLinux, Android/iOSに対応していますし、マルチクラウドをサポートしているものも多いので、自分の整理を兼ねてまとめてみました。全体的にここ最近名称変更が入ってるので旧名称も入れています。 Microsoft Defender + αの一覧 Windowsの固有の機能から、独立したエンドポイントセキュリティ製品、サーバサイドの製品までMicrosoft Defender の名前が使われてるので知らないとちょっとやや
ssh-keygenをブラウザだけでローカルで安全に鍵生成するWebアプリ - nwtgck / Ryo Ota
このssh-keygenコマンドで生成される公開鍵と秘密鍵は一度GitHubの設定で登録すれば捨てて良いもの。だからファイルに保存されずに生成されると手軽さが増すと思った。またssh-keygenコマンドがないと思われるモバイル端末上や、個人的にコマンドがあまり詳しくないWindows環境などでも常に生成されると嬉しい。そこでWebブラウザのローカルで安全に鍵生成できるWebアプリがほしくなった。
サーバーレスとコンテナを活用したアプリケーションの開発の今 〜クラスメソッドMADの顧客は何を採用しているのか?〜
セキュリティ診断のハンズオンなどの目的で、敢えて脆弱性を残しているいわゆる”やられアプリ”。 元旦から何やってんだという感じはありますが、折角時間があるので兼ねてから攻略したかった OWASP Serverless Goat をやっつけていきます。 OWASP Serverless Goat とは OWASP Serverless Goat はイスラエルのセキュリティスタートアップ PureSec が作成した The Ten Most Critical Risks for Serverless Applications v1.0 に基づいた、サーバーレスアプリケーション固有の脆弱性をわざと埋め込んだ Web アプリケーションです。 以下の教育目的で作成されたものであり、それ以外の目的で利用することは望ましくありません。 開発者とセキュリティ担当者に一般的なサーバーレスアプリケーションレイヤ
ImHex という Hex エディタを Ubuntu 20.04 にインストールしたときのメモ書きです。 ImHex ImHex を Ubuntu 20.04 にインストールする ImHex の画面設定 動かしてみた感想 参考文献 ImHex 公式 cmake 周り 参考にしたトラブルシューティング 付録 concepts が見つけられないというエラーについて 「CMake Error at cmake/build_helpers.cmake:55」について 更新履歴 ImHex ImHex は2020年の12月に公開された比較的新しい、午前3時にがんばる人のための Hex エディタです。 *1 GitHub - WerWolv/ImHex: A Hex Editor for Reverse Engineers, Programmers and people that value thei
脆弱性診断、動的アプリケーションセキュリティテスト(DAST / Dynamic Application Security Testing) 多くの方が脆弱性を検出する方法として利用されているかと思います。 脆弱性診断では、Webアプリケーションに脅威となる擬似攻撃の実施、既知の脆弱性を行い、攻撃・悪用できる脆弱性、情報漏洩に繋がる恐れのある問題点(ロジック)を見つけることができます。 メリット 緊急度の高い脆弱性を洗い出せる (診断サービスなどを利用すれば)セキュリティの知見がなくてもテスト可能 網羅的 デメリット 診断自体に時間がかかる 問題箇所を特定しなければならず、修正が難しい場合がある アプリケーションが動いていなければならず、脆弱性の作り込みから修正までの時間が長い ソフトウェアコンポジション解析(SCA / Software Composition Analysis) 近年O
ポートスキャナ自作ではじめるペネトレーションテスト
本書は、ポートスキャンを用いて攻撃者がネットワークを経由してどのように攻撃してくるのかを具体的な手法を交えて学び、攻撃手法を知ることでセキュリティレベルの向上を目指す書籍です。Scapyを用いてポートスキャナを自作し、ポートスキャンの仕組みや動作原理をしっかりと学びます。そのあとで、脆弱性診断やペネトレーションテストに不可欠なNmap、Nessus、Metasploit Frameworkなどのツールについて解説します。ハンズオンで学習を進めながら徐々にステップアップしていける構成となっています。攻撃者側の思考プロセスを理解し、対策を強化しましょう。付録ではペンテスターのキャリア形成、関係の築き方などにも触れ、著者の豊富な経験からのアドバイスを紹介しています。 正誤表 ここで紹介する正誤表には、書籍発行後に気づいた誤植や更新された情報を掲載しています。以下のリストに記載の年月は、正誤表を作
恐ろしく長い上に割と複雑なので最後まで読む人はほとんどいないと思うのですが、将来確実に忘れてしまう自分のために書いたので別に悲しくありません。 まえがき 背景 sigstoreの概要 sigstoreを構成するツール群 Cosign Rekor Fulcio 署名方法 コンテナイメージ 鍵ペアの生成 署名 検証 Blobs 鍵ペアの生成 署名 検証 署名の仕組み コンテナイメージ OCI Registryについて 署名の保存先 署名フォーマット 署名検証 検証が不十分な例 Blobs 参考 まとめ まえがき 鍵の管理不要でソフトウェア署名を可能にするKeyless Signingについて解説を書こうと思い、まず前提知識を書いていたら信じられないぐらい長くなったので前提知識だけで1つの記事になりました。 後述するsigstoreは急速に開発が進んでいるプロジェクトであり、ここで書いている記述
DevelopersIO 2022にて「OSSで始めるコンテナセキュリティ」というタイトルで登壇しました #devio2022 | DevelopersIO
コンサル部のとばち(@toda_kk)です。 2022/7/26〜28に開催された弊社主催のオンラインイベントDevelopersIO 2022にて、「OSSで始めるコンテナセキュリティ」をテーマに登壇しました。 動画 発表資料 セッション概要 「コンテナセキュリティってなんかいろいろあるけど、結局なにからやればいいの?」という方向けに、コンテナセキュリティの全体像や概要を解説しつつ、コンテナセキュリティに対応するためのOSSを紹介するセッションです。 ざっくりとした内容 OSSを用いることで気軽にコンテナセキュリティを実現してみよう、というテーマでお話ししました。 コンテナセキュリティに関する概要を、コンテナライフサイクルに沿ったリスクの評価と対応という形で整理した上で、関連するAWSサービスと機能を紹介しました。 また、コンテナセキュリティのOSSツールとして、Kubernetesセキ
2段階認証の新しい形、Googleの「Titan セキュリティ キー」ってどう使う?~Google「Titan セキュリティ キー」レビュー
2019年08月27日 TEXT:山口真弘(ITライター) 今年の夏、某スマホ決済アプリの記者会見をきっかけに注目を集めることになった「2段階認証」。経緯はさておき、この件をきっかけにこの言葉を知った人も、実は多いのではないでしょうか。 2段階認証は、パスワード以外に別の認証方法を組み合わせ、セキュリティを強固にする仕組みです。オンラインでの銀行振込にあたり、パスワードとIDに加えてワンタイムパスワードが必要になる、あの仕組みといえば分かりやすいでしょう。 今回紹介するGoogleの「Titan セキュリティ キー」は、PCのUSBポートに差し込むことで、こうした2段階認証に利用できる物理キーです。もともとGoogle社内で用いられていたものが、昨年になって一般にも発売され、日本でも今年夏から入手可能になったという経緯があります。 パッケージ。USBタイプとBluetoothタイプの2種類
GitOpsでも秘匿情報をバッチリ扱う方法、SealedSecretとは? / How to manage credentials on GitOps
GitOpsでも秘匿情報をバッチリ扱う方法、SealedSecretとは? / How to manage credentials on GitOps GitOpsで秘匿情報を扱う方法を紹介する資料です。SealedSecretというツールを中心に紹介しますが、それ以外のkamus, Hashicorp Vault, kubesealといった多くのツールも紹介します。 @Kubernetes Meetup Tokyo #21 - Cloud Native CI/CD
AlmaLinux 2722 View AlmaLinux vulnerabilities Alpine 3398 View Alpine vulnerabilities Android 881 View Android vulnerabilities Bitnami 3898 View Bitnami vulnerabilities crates.io 1348 View crates.io vulnerabilities Debian 9859 View Debian vulnerabilities GIT 32996 View GIT vulnerabilities Go 2151 View Go vulnerabilities Linux 13573 View Linux vulnerabilities Maven 4873 View Maven vulnerabilities n
GitHub - dstotijn/hetty: An HTTP toolkit for security research.
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session.
アンチウイルスソフトって必要なの?とか、ちゃんと私のこと守ってくれるの?とか思われたことはありますか。日常的にアンチウイルスと対峙しながら侵入テストをやっている者の目線で、5 つのアンチウイルス製品に対しいろいろ実験した結果を一般の方向けに解説してみます。アンチウイルスに対するモヤッとした疑問を少しでも解消していただけたら幸いです。 はじめに 技術部の松永です。 本題に入る前に、私がアンチウイルスについて語る資格がありそうか、簡単に自己紹介から始めたいと思います。 私はアンチウイルスの専門家ではなく、製品の開発や販売、評価などに関わったことはありません。サイバーディフェンス研究所入社から 10 年、セキュリティテストに携わっています。特に侵入テスト(ネットワークペネトレーションテスト)を主業務とするようになって 5 年目になりますが、私が攻撃ツールの研究開発を大好物としていることもあり、こ
オリジンIPの特定によるクラウド型WAFのバイパス May 27, 2019 昨年末に「How i was able to pwned application by Bypassing Cloudflare WAF」を読んで、CloudflareのWAFをバイパスする方法とそれがバグバウンティで認定された事例を知った。記事を書いた@vis_hacker氏は調査に「CloudFlair」というツールを使用しており、このツールを開発した@christophetd氏も同様の方法で報奨金を獲得していた¹。 Cloudflareに限らずクラウド型WAFのバイパスは2016年頃には既に話題になっており、論文も書かれていた²。2013年のBlackHat USAではDDoS保護のバイパスとして発表され³、DDoS保護サービスを提供するベンダーが注意喚起を行なっている⁴ ⁵。脆弱性として興味深かったので詳
WordPress のセキュリティ診断ツール WPScan 近年、不正アクセスの増加により、セキュリティに対する関心も高まりつつあります。さくらインターネットでも Web改ざん検知サービス やSSLの契約数が伸びてきているようですが、それでもやはり不正アクセスは絶えないのが現状です。 狙われるのはメールパスワード、そして WordPress さくらのレンタルサーバのサポート経験上、しばしば目にする不正アクセスは、メールパスワードの漏洩による大量メール送信です。しかし、これは比較的対策が簡単です。意識してパスワードの管理を行っていれば、それでリスクの9割以上はなくなると思います。 次に多いのがWordPressの不正アクセスです。WordPressは世界の1/3のサイトで使われており、便利で人気がある反面、非常に狙われやすいアプリケーションでもあります。 さくらのレンタルサーバのコラムにも
GitHub - google/tsunami-security-scanner: Tsunami is a general purpose network security scanner with an extensible plugin system for detecting high severity vulnerabilities with high confidence.
Tsunami is a general purpose network security scanner with an extensible plugin system for detecting high severity vulnerabilities with high confidence. License
certutilコマンドの非公開なオプションを表示する方法 - Eiji James Yoshidaの記録
certutilコマンドの非公開なオプションを表示する方法を見つけたというtweetがあったのでメモ。 Does `certutil -uSAGE` not work anymore? It's case sensitive btw ;) — Shawn (@dunarth) 2020年3月9日 前から気にはなっていたので、凄く嬉しい情報。 試したところ、たしかに"certutil -?"では表示されないオプションが沢山表示されるね。 赤色のが"certutil -uSAGE"で表示される非公開なオプション。 C:\>certutil -uSAGE 動詞: -dump -- 構成情報またはファイルをダンプします -dumpPFX -- PFX 構造をダンプします -asn -- ASN.1 ファイルの解析 -decodehex -- 16 進エンコード ファイルをデコードします -enco
脆弱性診断用に非ルート化端末でも動作するCUIのメモリ改ざんツール「apk-medit」を作った話 - Akatsuki Hackers Lab | 株式会社アカツキ(Akatsuki Inc.)
こんにちは、セキュリティエンジニアの小竹 泰一(aka tkmru)です。 アカツキでは、Webアプリケーション、ゲームアプリに対する脆弱性診断や社内ネットワークに対するペネトレーションテスト、ツール開発/検証などを担当しています。 メモリ改ざんによるチートとは UI上に表示されている値を端末のメモリ上から検索し、見つけた値を改ざんすることでチートを行うことができる場合があります。 これはゲームのチート方法の中で最も簡単な方法で、脆弱性診断の際にも実際にメモリ上のデータを改ざんをすることでチートできるかどうか確認しています。 対策としては、XOR等を使ってメモリ上ではエンコードされた状態で値を保持し、UI上に表示されている値を検索されても見つからないようにする方法があります。 作ったツール apk-meditという脆弱性診断のためのAndroidアプリ向けメモリ改ざんツールを作成しました。
オープンソースソフトウェアの利活用及びそのセキュリティ確保に向けた管理手法に関する事例集を拡充しました (METI/経済産業省)
経済産業省では、オープンソースソフトウェア(OSS)を利活用するに当たって留意すべきポイントを整理し、そのポイントごとに参考となる取組を実施している企業の事例等を取りまとめた「OSSの利活用及びそのセキュリティ確保に向けた管理手法に関する事例集」を拡充しましたので、公開します。 背景・趣旨 経済産業省では、令和元年9月5日に産業サイバーセキュリティ研究会ワーキンググループ1 (WG1)分野横断サブワーキンググループの下に、サイバー・フィジカル・セキュリティ確保に向けたソフトウェア管理手法等検討タスクフォース(ソフトウェアタスクフォース)を設置し、適切なソフトウェアの管理手法、脆弱性対応やライセンス対応等について検討を行ってきました。 ソフトウェアタスクフォースでは、多くの企業がOSSを含むソフトウェアの管理手法、脆弱性対応等に課題を抱えている現状に対し、産業界での知見の共有が有効であるとの
米Microsoft、ソースコード解析ツール「Application Inspector」を公開 | OSDN Magazine
米Microsoftは1月16日、オープンソースコンポーネントのセキュリティ問題を分析できるツール「Microsoft Application Inspector」をオープンソースで公開したことを発表した。 Microsoft Application Inspectorは静的にソースを分析するためのコマンドラインツール。.NET Coreで実装されており、WindowsおよびmacOS、Linuxで動作する。JSONベースで設定できるルールエンジンを利用して対象を分析し、そのコンポーネントがどのような機能を提供しているのか、内部的にOSやフレームワーク、ライブラリのどのような機能を使っているのかを調査する。たとえば対象のコンポーネントが暗号化技術を使っているか、遠隔とのやりとりを行っているか、どのプラットフォームで動いているのかといった情報が分かるという。結果はJSONやHTMLなど様々な
バグバウンティにおける JavaScript の静的解析と動的解析まとめ - blog of morioka12
1. 始めに こんにちは、morioka12 です。 本稿では、バグバウンティなどの脆弱性調査で行う、JavaScript の静的解析と動的解析についてまとめて紹介します。 1. 始めに 免責事項 想定読者 検証環境 静的解析と動的解析 2. 静的解析 (Static Analysis) 2.1 JavaScript File の URL を収集する getJS hakrawler getallurls (gau) 2.2 エンドポイントを列挙する LinkFinder xnLinkFinder katana jsluice endext 2.3 シークレット情報を検出する SecretFinder jsluice Mantra trufflehog 2.4 潜在的な脆弱性情報を検出する Retire.js ESLint 3. 動的解析 (Dynamic Analysis) DevTool
[コンテナイメージ脆弱性スキャナ]Trivyをやっと試してみた!投稿者: adachin 投稿日: 2019/09/112019/09/11 完全に言い訳なのですが、Trivyの検証ブログをなかなか書けず。。。 そして!書いた? [DigitalOcean]KubernetesでWordPressを動かしてwikiブログを始めました! https://t.co/kum6pU11vA — adachin?SRE (@adachin0817) August 13, 2019 k8sを先月から運用し始めたので、コンテナの脆弱性をスキャンしようと、ようやくTrivyの検証をしてみたのでブログします! ■Trivyとはhttps://github.com/aquasecurity/trivy Vulsはsshで対象のサーバ(Linux)の脆弱性をスキャンできるツール(v0.9.0からAlpineのイ
![[コンテナイメージ脆弱性スキャナ]Trivyをやっと試してみた!](https://cdn-ak-scissors.b.st-hatena.com/image/square/c641d13b7b21e36e6c3f1e2a051b15e065d962d0/height=288;version=1;width=512/https%3A%2F%2Fi0.wp.com%2Fblog.adachin.me%2Fwp-content%2Fuploads%2Ftrivy.png%3Ffit%3D750%252C394%26ssl%3D1)
Snyk adds security directly into your IDE with real-time vulnerability scanning of code, open source libraries, containers, and cloud infrastructure — and provides actionable fix advice in-line so you can fix quickly and move on.
本記事は『今日からできるサイバー脅威インテリジェンスの話-導入編-』の続きであり、具体的なサイバー脅威情報の収集方法やプラットフォームについて紹介する記事です。 『サイバー脅威インテリジェンスって何?』という方がいらっしゃれば前の記事を参考にしてください。 Let's CTI 私が個人レベルでやっている CTI の活動を分類してみると、以下の3つの方法になると思います。 無料で利用できるインテリジェンスサービス・データベースを活用する オンラインサンドボックスを活用する SNS や外部のコミュニティを利用する それぞれ長所やカバーできる領域が異なるので、自分の興味や組織の CTI の目的に合わせてどの方法を取るべきか検討してみると良いでしょう。 では、詳細に説明していきます。 1. 無料で利用できるインテリジェンスサービス・データベースを活用する 世の中には優秀なインテリジェンス分析者がた
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
趣味で作ったソフトウェアが海外企業に買われるまでの話 - knqyf263's blog
GitHub - Bad Todo 非常に多種の脆弱性を含む診断実習やられアプリ
セキュリティツールの評価は難しい - knqyf263's blog
高校2年生が開発したWindows専用脆弱性スキャナー「DetExploit」がリリース/オープンソースで開発。今後はアドオンによる拡張や自動更新機能も
AWS WAFを完全に理解する ~WAFの基礎からv2の変更点まで~ | DevelopersIO
コンテナ・セキュリティ入門 脆弱性 - Qiita
WiresharkのDissectorを使った独自プロトコル解析をやさしく解説してみました
GitHub - DeNA/PacketProxy: A local proxy written in Java
Kali Linuxに(自分が)追加したいペネトレーションツール - 高林の雑記ブログ
Open Source Insights
CIで使えるコンテナの脆弱性スキャナ - Qiita
Microsoft Defenderを眺めてると「もう全部あいつ一人でいいんじゃないかな」という気分になる
コンテナセキュリティ関連OSSの紹介〜今すぐ始める無料の脆弱性検査〜
サーバーレスやられアプリを使った脆弱性診断ハンズオン - Qiita
ImHex:午前3時にがんばる人のためのバイナリエディタ - setodaNote
Webセキュリティはどこから手をつければよいのか? | yamory Blog
sigstoreによるコンテナイメージやソフトウェアの署名 - knqyf263's blog
OSV - Open Source Vulnerabilities
アンチウイルス実験室 〜⚗️マルウェア検知実験🧪〜
オリジンIPの特定によるクラウド型WAFのバイパス
WPScanによる、WordPressの脆弱性診断の始め方 | さくらのナレッジ
[コンテナイメージ脆弱性スキャナ]Trivyをやっと試してみた!
Secure Coding with IDE Plugins | IDE Security Plugins | Snyk
今日からできるサイバー脅威インテリジェンスの話-実践編- - NFLabs. エンジニアブログ
ganpeki2024.hatenablog.com
hopperocean.com
news.yahoo.co.jp
ayuichi27.blog.fc2.com
expression-of-gratitude.com
rocketnews24.com