==============================
OSSの脆弱性調査ツール Vuls
==============================
とりあえず、備忘録的に。
大昔はOSSでこういう事をよくやっていたものだ SATANとかあったな…
Vuls
https://vuls.io/ja/
![](https://blogimg.goo.ne.jp/user_image/2c/04/43429170f8e5bf85d14a0fe02baa3430.jpg)
脆弱性スキャナVulsで始めるセキュリティ対策
https://www.slideshare.net/TakayukiUshida/vuls-72163241
![](https://blogimg.goo.ne.jp/user_image/1f/f6/5b5c2f6cdbb03486b98b881a7810cc14.jpg)
巷でナウな脆弱性スキャンツールVulsを試してみた!
https://www.nttpc.co.jp/technology/csirt_3.html
![](https://blogimg.goo.ne.jp/user_image/6a/33/4c881203ab3702ebddcec959f0a3a71f.jpg)
Vulsを使った脆弱性チェック運用【セキュリティ対策】
https://techblog.recochoku.jp/4036
Vulsを使った脆弱性チェック運用はじめるよ
https://techblog.recochoku.jp/4039
![](https://blogimg.goo.ne.jp/user_image/62/c6/d3dd4930d6af6e7b5ea8af3fb17c0196.jpg)
脆弱性診断ツール「Vuls」に有償版
http://www.risktaisaku.com/articles/-/4622
![](https://blogimg.goo.ne.jp/user_image/54/eb/f566735d33f8014f67b870065a3c4edd.jpg)
現実にはこういうツールを使っても素人は脆弱性診断ツールが出す結果を「どう読み解くべきか?」 その結果を踏まえて「どうすべきか?」を説明できない。 SIerであってもセキュリティにかなり特化していないとどうすべきかを言えはしない。
ITに疎いSIerは「無償のツールを使えばセキュリティ維持のコストを限りなく0にできる」という前提で提案してくるからこまる。 実際には上記の通り、セキュリティに疎いSIerがこの手のツールを使いこなせるはずがないのだ。 そういったSIerはその道に精通した専門家と協業するか、有償版とテクニカルサービスをセットで購入して顧客に提案するか、いずれにせよ責任ある提案をしないといけない。
無償ツールの採用で物品コスト=0
わかりもしない内部人員を担当にしてツール代金を全部ポケットに入れる
などという提案をするようなSIerとは付き合うべきではない。
セキュリティ維持を提案してくる会社にはそれをどうやって実現するのか? 脅威に対してどうすべきなのか? それをきちんと説明できるかを質さなければいけない。
OSSの脆弱性調査ツール Vuls
==============================
とりあえず、備忘録的に。
大昔はOSSでこういう事をよくやっていたものだ SATANとかあったな…
Vuls
https://vuls.io/ja/
![](https://blogimg.goo.ne.jp/user_image/2c/04/43429170f8e5bf85d14a0fe02baa3430.jpg)
脆弱性スキャナVulsで始めるセキュリティ対策
https://www.slideshare.net/TakayukiUshida/vuls-72163241
![](https://blogimg.goo.ne.jp/user_image/1f/f6/5b5c2f6cdbb03486b98b881a7810cc14.jpg)
巷でナウな脆弱性スキャンツールVulsを試してみた!
https://www.nttpc.co.jp/technology/csirt_3.html
![](https://blogimg.goo.ne.jp/user_image/6a/33/4c881203ab3702ebddcec959f0a3a71f.jpg)
Vulsを使った脆弱性チェック運用【セキュリティ対策】
https://techblog.recochoku.jp/4036
Vulsを使った脆弱性チェック運用はじめるよ
https://techblog.recochoku.jp/4039
![](https://blogimg.goo.ne.jp/user_image/62/c6/d3dd4930d6af6e7b5ea8af3fb17c0196.jpg)
脆弱性診断ツール「Vuls」に有償版
http://www.risktaisaku.com/articles/-/4622
![](https://blogimg.goo.ne.jp/user_image/54/eb/f566735d33f8014f67b870065a3c4edd.jpg)
現実にはこういうツールを使っても素人は脆弱性診断ツールが出す結果を「どう読み解くべきか?」 その結果を踏まえて「どうすべきか?」を説明できない。 SIerであってもセキュリティにかなり特化していないとどうすべきかを言えはしない。
ITに疎いSIerは「無償のツールを使えばセキュリティ維持のコストを限りなく0にできる」という前提で提案してくるからこまる。 実際には上記の通り、セキュリティに疎いSIerがこの手のツールを使いこなせるはずがないのだ。 そういったSIerはその道に精通した専門家と協業するか、有償版とテクニカルサービスをセットで購入して顧客に提案するか、いずれにせよ責任ある提案をしないといけない。
無償ツールの採用で物品コスト=0
わかりもしない内部人員を担当にしてツール代金を全部ポケットに入れる
などという提案をするようなSIerとは付き合うべきではない。
セキュリティ維持を提案してくる会社にはそれをどうやって実現するのか? 脅威に対してどうすべきなのか? それをきちんと説明できるかを質さなければいけない。
※コメント投稿者のブログIDはブログ作成者のみに通知されます