jenkinsを使った継続的セキュリティテスト
TRANSCRIPT
Copyright (c) Bitforest Co., Ltd.
Jenkinsを使った
継続的Webセキュリティテスト
2015/1/11 Jenkins Conf Tokyo1
株式会社ビットフォレスト 市川
Copyright (c) Bitforest Co., Ltd.
セキュリティテストの重要性
• 情報漏洩
• 改竄、マルウェアの配布
• 他サイトへのリスト型攻撃に悪用
4
損害賠償、2次被害など影響が大きい
Copyright (c) Bitforest Co., Ltd.
現状の問題点
6
開発チーム
外部の診断会社 社内の専門チーム
コーディング
単体テスト
結合テスト
脆弱性診断
開発チーム
修正
リリース
問題点 !•リリース直前に大量の脆弱性発見
•スケジュール遅延
•リリース後の修正・機能追加
•診断が難しい(コスト・期間)
Copyright (c) Bitforest Co., Ltd.
世界の流れ
• Google • GTAC 2013: Finding XSS at Google Scale • 社内で独自ツールを使ってチャレンジ中
• https://www.youtube.com/watch?v=rd5TZKRg-‐lc
9
Copyright (c) Bitforest Co., Ltd.
世界の流れ• カーネギーメロン大学ソフトウェア工学部
• http://blog.sei.cmu.edu/post.cfm/security-‐continuous-‐integration-‐338
10
Copyright (c) Bitforest Co., Ltd.
継続的Webセキュリティテスト
11
開発チーム
外部の診断会社 社内の専門チーム
コーディング
単体テスト
結合テスト
脆弱性診断
開発チーム
修正
リリース
継続的セキュリティテスト開発チーム
コーディング
単体テスト
結合テスト
リリース
脆弱性診断
Copyright (c) Bitforest Co., Ltd.
継続的Webセキュリティテストの課題
• 既存のツールを使う場合
• 設定項目が多くノウハウを貯める必要
• 設定が不十分だと検査効果が少ない
• ノウハウを貯めながら運用し続けるのは大変
• CIのフローに乗せるのが大変
12
Copyright (c) Bitforest Co., Ltd.
VAddyの特徴
• ブラックボックスのWeb脆弱性診断
• CI連携を前提に設計
• セキュリティ検査エンジンを独自開発
• ユーザが行う設定作業を最小限にして、簡単に導入できるようにするため
• 機械学習の機能を持ったエンジン
• JAVAで開発中
15
Copyright (c) Bitforest Co., Ltd.
VAddyの特徴
• セキュリティエキスパートが開発・運用
• 国内No.1のSaaS型Webアプリケーションファイアーウォール(WAF) Scutumの開発運用を6年行っているチームでVAddyを開発しています
• http://scutum.jp
16
Copyright (c) Bitforest Co., Ltd.
VAddyの現状(2015/1/11現在)
• 無料プランのみ提供中
• 何度でもスキャン実行可能
• SQLインジェクション、XSS
• Jenkinsプラグイン提供中
• じげん様のCIフローにVAddyを組み込んで頂いています
17
Copyright (c) Bitforest Co., Ltd.
Jenkins VAddyプラグイン提供中
19
https://wiki.jenkins-‐ci.org/display/JENKINS/VAddy+Plugin
Copyright (c) Bitforest Co., Ltd.
VAddyミートアップ開催• 参加費無料
• 2015/2/19(木) 19:00 新宿
• http://vaddy.doorkeeper.jp/events/19464 • 内容
• 最新セキュリティ情報 • VAddy説明、デモ、相談会 • 20:30から会場で懇親会(無料)
23