本記事では、Mend社のソフトウェアコンポジション解析ツールによるLinux OSの脆弱性スキャン方法について解説します。
Mend社のソフトウェアコンポジション解析ツールは、Debian/RPM/Alpine/Arch Linux/DNF のパッケージタイプをサポートしています。CentOSやUbuntuなどのLinuxディストリビューションにインストールされているパッケージについて脆弱性を検査することができます。
前提
本記事は「Mend社のソフトウェアコンポジション解析ツール(旧WhiteSource)」およびUnified Agentの概要を理解している方を対象として作成しています。
不明点がある方はまず「Mend社のソフトウェアコンポジション解析ツール(旧WhiteSource)の使い方」を参照ください。
スキャンの手順
Unified Agentのインストール
$ curl -OL https://unified-agent.s3.amazonaws.com/wss-unified-agent.jar
コマンド実行
$ export WS_APIKEY=<取得したAPI Key>
$ export WS_USERKEY=<取得したUser Key>
$ export WS_PRODUCTNAME=CentOS_Product
$ export WS_PROJECTNAME=CentOS_Project
$ export WS_WSS_URL=https://saas.whitesourcesoftware.com/agent
$ export WS_SCANPACKAGEMANAGER=true
$ java -jar wss-unified-agent.jar
本コマンドにより解析結果がサーバーに送られ、ブラウザーで閲覧して解析結果を確認できます。Unified Agentの解析から3分ほど後にサーバー側にコンポーネントデータが反映され、そこからさらに5分ほど後に脆弱性データが反映されるようです。※パッケージ数1000~2000件で試した際の結果です。
