まったり技術ブログ

Webエンジニア向けのセキュリティブログ。たまに開発も

【PR】Githubスターが100超えたから紹介【セキュリティ】

開発日誌 セキュリティ
f:id:motikan2010:20200306023529p:plain:w600

はじめに

 先日私が作成したGitHubリポジトリのスター数が100を超えました!

圧倒的感謝!(-人-)謝謝

 3桁になったのは初めてのことであり嬉しいので、どのようリポジトリであるのかを紹介することにします。
ついでに他のリポジトリも紹介させて! +私自身のリポジトリ確認頻度でオススメ度を決めています。

人によってはきっと役に立つはず。

 100個を超えたことに気づいている様子が以下のツイートです。

ちなみに100個目の記念スター⭐️は自分自身で付けようと思っていましたが、就寝中であり付けられませんでした。

「PoC-in-GitHub」とはどのようなリポジトリ? 👉 オススメ度:★★★

 下のリポジトリがそれです。

github.com

 一言でリポジトリを説明すると、
    Github上にある脆弱性PoC(Proof of Concept)のリポジトリが列挙されている
 となります。
f:id:motikan2010:20200306004555p:plain:w600

 収集の仕組みとしては、GitHub API で「CVE-1999- ~CVE-2020-」を自動的に検索してそれをまとめているだけです。

仕組みは単純ですが、数時間前に作成されたPoCに気づくこともあるのでなかなか便利です。
(Forkしている人はなんなんだろ・・・)

その他リポジトリも紹介させて!

 上記リポジトリのように セキュリティ情報 を自動的に収集してまとめているリポジトリは他にも3つあるので紹介します。

NVD情報を保存している「NVD-Database」 👉 オススメ度:★

github.com

 NVD情報をダウンロードして格納しているリポジトリです。
このようなリポジトリは他に結構存在しているので説明は割愛。

 作成当初は定期的に内容を確認しようと考えていましたが、追記・変更量的が多すぎるので1度もまともに確認したことないです。

f:id:motikan2010:20200306010927p:plain:w600

CVEをリスト化している「CVE-Easy-List」 👉 オススメ度:★★★★

 CVE情報を収集している CVEProject/cvelist をリスト化しているリポジトリです。
ステータスが PUBLIC となってCVEのみをリスト化しており、昨日パブリックになったCVEを確認したい時などに重宝しています。

github.com

 Github上のDIFFで確認するようにしており、新規にパブリックになった脆弱性は一目瞭然です。(もちろんCVE-IDが未採番の脆弱性は載っていないです)

 頻繁に確認するようにしているリポジトリです。皆さんは直近に公開されたCVE情報を確認するとき、どのようにしているんでしょうね?

f:id:motikan2010:20200306004515p:plain:w600

CVEのExploitがリスト化されている「NVD-Exploit-List-Ja」 👉 オススメ度:★★

github.com

 NVD内には Exploit タグが付いているリンクがあります。それらのリンクをリスト化しているリポジトリです。

f:id:motikan2010:20200306013032p:plain:w600

 JVN(Japan Vulnerability Notes)の情報も用いており、JVNに存在するCVEに関しては日本語の説明を表示するようにしています。

f:id:motikan2010:20200306004459p:plain:w600

 以上、紹介したのがセキュリティ情報を収集しているリポジトリです。

まだ4つしかないので、今後もいろいろ作成していく予定です。直近ではCVE IDが採番されていない脆弱性を収集したリポジトリを作成する予定です。

おまけ

裏方アカウント

 紹介したリポジトリを管理しているアカウントです。

 GitHubには「無料アカウントを複数個所有してはいけない」という有名な利用規約があるので、このアカウントを作成時にメインアカウントを有料プランに移行したりしました。

 自動で情報を追記しているので管理しているので草生えまくりです。この草の状態が死活監視対象となっていたり。
コミットの草を見てみると 平日の草が濃い ようにみえる。やはり休日の脆弱性の更新は減り気味なのかね?

f:id:motikan2010:20200306004529p:plain:w800

脆弱性をリスト化することによる副作用

 脆弱性がCVE単位で詳細に管理されているサイトとして Vulmon があります。

f:id:motikan2010:20200306015616p:plain:w600

 このようなサイトには脆弱性の詳細情報が記載されているサイトへのリンクが当然のように存在しています。

 詳細情報には脆弱性の詳細情報が記載されているGitHubへのリンクも含まれていますが、脆弱性の詳細が記載されていない私のリポジトリへのリンクもあったりします。(自動収集だからかと考えられます)

 荒らしているような感じがして、罪悪感があったりなかったり・・・。

f:id:motikan2010:20200306015630p:plain:w300

まとめ

 一旦はこんな感じです。 これらのリポジトリはまぁまぁ便利だと思っていて、いつか紹介しようと考えていましたので、スター数が100個というキリがよいタイミングで紹介できてよかったです。

本来は50個で紹介記事を書こうと思っていました。そのタイミングを逃した時は次のキリのよいタイミングは100個ということで、いつになることやらと思っていましたが、結構早めに迎えることができうれしいです。

 余談として、私はスターが増える毎に過敏に反応しており、スターを付けたアカウントをチェックしていたりします。
それらのアカウントのプロフィールをみる限り中国語圏がほどんどで、中国圏の方々脆弱性情報好きすぎだとと感じた次第。

 次は情報を集めたリポジトリではなく、ライブラリなどのプログラムでスターを集めてみたい_(:3 」∠ )_ 。

更新履歴

  • 2020年3月5日 新規作成