まったり技術ブログ

Webエンジニアのセキュリティブログ

Githubスターが100超えたから紹介【セキュリティ】

開発日誌 セキュリティ

はじめに

 先日私が作成したGitHubリポジトリのスター数が100を超えました!圧倒的感謝!(-人-)謝謝

100個を超えたことに気づいている様子が以下のツイートです。

ちなみに記念すべき100個目のスターは自分で付けようと思っていましたが、就寝中であったため付けられませんでした。(¦3ꇤ[▓▓]

 そして本記事ではこのリポジトリがどのようリポジトリであるのかを紹介します。

 ついでに私が管理しているセキュリティ関連のリポジトリもいくつか紹介します!(+α 私自身のリポジトリ参照頻度でオススメ度も記載します)

 日々セキュリティ情報を収集している方にはきっと役に立つはずです。

「PoC-in-GitHub」とはどのようなリポジトリ? [ オススメ度:★★★☆ ]

 下のリポジトリがそれです。

github.com

 一言でリポジトリを説明すると、
    Github上にある脆弱性PoC(Proof of Concept)のリポジトリが列挙されている
 となります。

 収集の仕組みとしては、GitHub API で「CVE-1999- ~CVE-2020-」を自動的に検索してそれをまとめているだけです。

仕組みは単純ですが、数時間前に作成されたPoCに気づくこともあるのでなかなか便利です。
(Forkしている人はなんなんだろ・・・)

その他リポジトリも紹介させて!

 上記リポジトリのように セキュリティ情報 を自動的に収集してまとめているリポジトリは他にも3つあるので紹介します。

NVD情報を保存している「NVD-Database」 [ オススメ度:★☆☆☆ ]

github.com

 NVD情報をダウンロードして格納しているリポジトリです。
このようなリポジトリは他に結構存在しているので説明は割愛。

 作成当初は定期的に内容を確認しようと考えていましたが、追記・変更量的が多すぎるので1度もまともに確認したことないです。

CVEをリスト化している「CVE-Easy-List」 [ オススメ度:★★★★ ]

 CVE情報を収集している CVEProject/cvelist をリスト化しているリポジトリです。
ステータスが PUBLIC となってCVEのみをリスト化しており、昨日パブリックになったCVEを確認したい時などに重宝しています。

github.com

 Github上のDIFFで確認するようにしており、新規にパブリックになった脆弱性は一目瞭然です。(もちろんCVE-IDが未採番の脆弱性は載っていないです)

 頻繁に確認するようにしているリポジトリです。皆さんは直近に公開されたCVE情報を確認するとき、どのようにしているんでしょうね?

CVEのExploitがリスト化されている「NVD-Exploit-List-Ja」 [ オススメ度:★★☆☆ ]

github.com

 NVD内には Exploit タグが付いているリンクがあります。それらのリンクをリスト化しているリポジトリです。

 JVN(Japan Vulnerability Notes)の情報も用いており、JVNに存在するCVEに関しては日本語の説明を表示するようにしています。

 以上、紹介したのがセキュリティ情報を収集しているリポジトリです。

まだ4つしかないので、今後もいろいろ作成していく予定です。直近ではCVE IDが採番されていない脆弱性を収集したリポジトリを作成する予定です。

おまけ

裏方アカウント

 紹介したリポジトリを管理しているアカウントです。

 GitHubには「無料アカウントを複数個所有してはいけない」という有名な利用規約があるので、このアカウントを作成時にメインアカウントを有料プランに移行したりしました。

 自動で情報を追記しているので管理しているので草生えまくりです。この草の状態が死活監視対象となっていたり。
コミットの草を見てみると 平日の草が濃い ようにみえる。やはり休日の脆弱性の更新は減り気味なのかね?

脆弱性をリスト化することによる副作用

 脆弱性がCVE単位で詳細に管理されているサイトとして Vulmon があります。

 このようなサイトには脆弱性の詳細情報が記載されているサイトへのリンクが当然のように存在しています。

 詳細情報には脆弱性の詳細情報が記載されているGitHubへのリンクも含まれていますが、脆弱性の詳細が記載されていない私のリポジトリへのリンクもあったりします。(自動収集だからかと考えられます)

 荒らしているような感じがして、罪悪感があったりなかったり・・・。

まとめ

一旦紹介はこんな感じです。

 これらのリポジトリは私自身が便利だと感じており、どこかのタイミングで紹介しようと考えていましたので、スター数が100個というキリ良いタイミングで紹介できてよかったです。

 本来は50個で紹介記事を書こうと思っていました。そのタイミングを逃した時は次のキリのよいタイミングは100個ということで、いつになることやらと思っていましたが、結構早めに迎えることができうれしいです。

 余談として、私はスターが増える毎に過敏に反応しており、スターを付けたアカウントをチェックしていたりします。
それらのアカウントのプロフィールをみる限り中国語圏の方がほどんどで、中国圏の方々は脆弱性情報好きすぎだとと気づいた次第です。

 次は情報を集めたリポジトリではなく、ライブラリなどのプログラムでスターを集めてみたい。

更新履歴

  • 2020年3月5日 新規作成