はじめに 他ツール DefectDojo 動作検証 環境構築 検出結果の取り込み Step 1. Product の作成 Step 2. Engagement の作成 Step 3. 検査結果(Finding) の登録 API経由で結果をインポート Semgrep ZAP Nmap Dependency Check Scan Trivy Scan Gitleaks Scan…
はじめに Amazon GuardDuty の説明 flightsim の説明 LLM の説明 flightsim (Network Flight Simulator) の検証 LLM(Claude Code) でモジュール拡張 準備 LLM に指示を与える コードの修正後 更新:v2/cmd/run/run.go 作成:v2/simulator/process-injection.…
はじめに スコアの計算方法 対象となる脆弱性 2025年 人気脆弱性 TOP 10 in GitHub 10位 532 pt - Erlang/OTP SSH Server の認証不要のリモートコマンド実行の脆弱性(CVE-2025-32433) 9位 535 pt - Vite で任意ファイルの読み取りが可能な脆弱性(CVE-2025…
はじめに 検証 巨大なプルリクエストのSAST 各脆弱性のSAST 結果一覧 まとめ はじめに AWS から「AWS Security Agent」というセキュリティサービスが発表され、「Code review」という機能のSAST(静的アプリケーションセキュリティテスト)が提供されましたの…
ランキング参加中セキュリティ はじめに 2025年 上半期 人気脆弱性 TOP 10 in GitHub 1位 CVE-2025-29927 - Next.js の認可バイパス 2位 CVE-2025-24813 - Apache Tomcat partial PUT におけるリモートコード実行、情報漏えいや改ざん 3位 CVE-2025-24071 - …
はじめに 環境準備 1. アカウントの作成 2. 設定値の指定 (Slack トークンやOpenAI API キー など) app/.env .llm/config.json 3. ソースコードの配置 4. 起動 動作検証 脆弱性の修正プルリク作成 SECURITY.md ファイルの作成 はじめに 最近「セキュリティ…
調査対象のランタイムセキュリティツール 検知ルールと MITRE ATT&CK のマッピング ツール毎の検知ルール Falco Rules - Sysdig ディレクトリトラバーサルによるファイル読み取り 起動後に信頼された機密ファイルの読み込み 信頼されない機密ファイルの読み…
はじめに スコアの計算方法 対象となる脆弱性 2024年 人気脆弱性 TOP 10 in GitHub 10位 777 pt - Windows カーネルにおける権限昇格される脆弱性(CVE-2024-30088) 9位 897 pt - Jenkins の任意のファイル読み取りの脆弱性(CVE-2024-23897) 8位 1,094 pt…
GitHub Copilot Autofix とは Copilot Autofix が利用できるリポジトリ Copilot Autofix を有効化 Copilot Autofix の検証 検証内容 結果 Insecure Deserialization (安全ではないデシリアライゼーション) SQL インジェクション XSS (クロスサイトスクリプテ…
はじめに 検証環境 診断の流れ 診断用 IAM ユーザを追加 IAM ユーザを作成 2つの『インラインポリシー』を追加 2つの『AWS管理ポリシー』を追加 アクセスキー の発行 Prowler 実行環境の構築 pip コマンドのインストール Prowler のインストール AWS 認証…
TL;DR はじめに 偽PoC 偽PoCのリポジトリを見る 偽PoCリポジトリに付与されたスター数を見る 偽PoCにスターを付与したアカウントを見る 詐欺アカウントを通報 まとめ TL;DR 詐欺師はGitHubアカウントを複数用意して、偽PoCのリポジトリにスターを付与する自…
はじめに スコアの計算方法 対象となる脆弱性(2022年からの変更あり) 2023年 人気脆弱性 TOP 10 in GitHub 10位 573 pt - Atlassian社の Confluence Data Center および Server におけるアクセス制御破損の脆弱性(CVE-2023-22515) 9位 574 pt - Citrix社…
