Mend社のソフトウェアコンポジション解析ツール（旧WhiteSource）でLinux OSの脆弱性スキャン

本記事では、Mend社のソフトウェアコンポジション解析ツールによるLinux OSの脆弱性スキャン方法について解説します。

Mend社のソフトウェアコンポジション解析ツールは、Debian/RPM/Alpine/Arch Linux/DNF のパッケージタイプをサポートしています。CentOSやUbuntuなどのLinuxディストリビューションにインストールされているパッケージについて脆弱性を検査することができます。

前提

本記事は「Mend社のソフトウェアコンポジション解析ツール（旧WhiteSource）」およびUnified Agentの概要を理解している方を対象として作成しています。

不明点がある方はまず「Mend社のソフトウェアコンポジション解析ツール（旧WhiteSource）の使い方」を参照ください。

スキャンの手順

Unified Agentのインストール

$ curl -OL https://unified-agent.s3.amazonaws.com/wss-unified-agent.jar

コマンド実行

$ export WS_APIKEY=<取得したAPI Key>
$ export WS_USERKEY=<取得したUser Key>
$ export WS_PRODUCTNAME=CentOS_Product
$ export WS_PROJECTNAME=CentOS_Project
$ export WS_WSS_URL=https://saas.whitesourcesoftware.com/agent
$ export WS_SCANPACKAGEMANAGER=true
$ java -jar wss-unified-agent.jar

本コマンドにより解析結果がサーバーに送られ、ブラウザーで閲覧して解析結果を確認できます。Unified Agentの解析から3分ほど後にサーバー側にコンポーネントデータが反映され、そこからさらに5分ほど後に脆弱性データが反映されるようです。※パッケージ数1000～2000件で試した際の結果です。

参考

• Unified Agent Configuration Parameters#Linux-Package-Manager-Settings
• Linux Distribution Vulnerabilities Detection

関連製品

OSS管理＆SBOM管理ツール Mend社のソフトウェアコンポジション解析ツール（旧WhiteSource）