Vuls祭り#9のまとめ

hiro0kach1 @hiro0kach1

Vuls祭り参加中。EPSSが10%以上のものが実際に30日以内に悪用される確率は65%、というデータは初めて知ったけど、悪くないなという印象。ただ30日はちょっと長すぎる印象なんだよな #vulsjp

hiro0kach1 @hiro0kach1

CVSS v4の話も興味深かった。まだちゃんと理解するには程遠いけど聞いた限り、脆弱性の理解がしやすくなりそう #vulsjp

hiro0kach1 @hiro0kach1

そして、v4とv3.1を実際の脆弱性で比較した結果、スコア影響が少ない。スコアで機械的に判断するのではなく、脆弱性に対する解像度を上げて適切な判断を促すためのアップデートと考えたほうがいいのかな #vulsjp

touchpotch @touchpotch

「脆弱性管理でひどい目にあったことがある人」かあ…。脆弱性でひどい目、ではないのですねｗ #vulsjp

キタジー @kitaji0306

CVE-2014-0114 これは何のCVE IDだ！ #vulsjp

四川麻婆豆腐 @hogehuga

画面がチラつくのは、登壇者PCの仕様によるものです。ご了承ください。 #vulsjp

chocopurin @cluclu_land

StrutsのCVE-2014-0114。（あかん意味で）めっちゃお世話になった記憶あるけど、10年も経ってたんか・・・ #vulsjp

hmatsu47(まつ) @hmatsu47

うっかり忘れるところだったけど、新幹線の中で #vulsjp を見てる。

hiro0kach1 @hiro0kach1

NTTデータさんのCVE-20140114対応ばなし、めっちゃ興味深い。 #vulsjp

キタジー @kitaji0306

CVE-2014-0114：Struts1のEOL後に発覚した脆弱性だった。 非公開脆弱性の大きな組織での取り扱いは非常に大変なことが良く分かった。 #vulsjp

キタジー @kitaji0306

痛い目を見ると体制は動く：PoCを事前に見せられると有用 #vulsjp

hiro0kach1 @hiro0kach1

大規模組織で脆弱性マネジメントやってる人はマジでスゴイと思う。 #vulsjp

キタジー @kitaji0306

成熟度モデルの導入 VMMM：組織全体の脆弱性対応力を評価する #vulsjp

hiro0kach1 @hiro0kach1

組織を大きくしながら脆弱性管理を高度化していった話、めっちゃ面白い。そしてVMMMってなんだ　#vulsjp

野溝のみぞう @nomizooone

めちゃくちゃすごい（こなみ #vulsjp

野溝のみぞう @nomizooone

全然関係ないんですがCVEカルタほしいなと思った #vulsjp

キタジー @kitaji0306

Vuls開発者の小話始まった #vulsjp

キタジー @kitaji0306

Trivy-to-Vuls Docker ImageやLibraryスキャン出来る SBOMは？ #vulsjp

キタジー @kitaji0306

やっぱ、コンテナスキャンといったらTrivyなんだなぁ、、、 #vulsjp

きりたぬ (Kiri) @skiritan

さらっと流してたけど「大規模組織(数万人～)でルールを決めていく」も相当大変で、いろいろ知見がありそう・・（ゴクリ #vulsjp

キタジー @kitaji0306

トリアージを一般的な指標（CVSS等）だけでやり切るのは難しい、システムの関連性などを踏まえて判断出来ると良いな→人かAIの出番かな #vulsjp

野溝のみぞう @nomizooone

ポスター獲得じゃんけん（コミケっぽい） #vulsjp

キタジー @kitaji0306

セキュリティ月間のポスターが欲しい人は公平にじゃんけん！ #vulsjp

野溝のみぞう @nomizooone

Σ(ﾟ∀ﾟﾉ)ﾉｷｬｰ!ｼﾉﾍﾞｻｰﾝ #vulsjp

hiro0kach1 @hiro0kach1

マイナビさん、SSVCちゃんと運用している数少ない会社さんな気がする。楽しみ　#vulsjp