オープンソースは開発に大きな利便性をもたらしましたが、同時にセキュリティリスクも伴います。プロジェクトでライブラリ、フレームワーク、あるいはサービスを導入する際には、必ずそれに伴うセキュリティリスクを無視することはできません。

オープンソースが世界に浸透するにつれ、コードセキュリティの重要性はますます高まっています。HelloGitHubは本日、コードセキュリティ、ウェブセキュリティ、ツールなど、セキュリティをテーマにした10のオープンソースプロジェクトをご紹介します。網羅的なものではありませんが、これらのプロジェクトがセキュリティへの意識を高める出発点となることを願っています。

コードセキュリティの重要性をすでに認識しているなら、これらのオープンソースプロジェクトの中にあなたにぴったりのものがあるはずです。さあ、早速今日の「セキュリティ教育」を始めましょう。

I. コーディングセキュリティ

セキュリティ意識を高めるには、まずコーディング習慣を改善することから始めましょう。

1. secguide

Tencentのオープンソースコードセキュリティガイドライン。このプロジェクトには、C/C++、Python、JavaScript、Java、Goなどの言語向けのセキュアコーディングガイドラインが含まれています。内容はシンプルで分かりやすく、開発者がセキュリティリスクを回避し、コードソースにおける脆弱性を軽減するのに役立ちます。

アドレス: https://github.com/Tencent/secguide

2. 安全ルール

360 の品質エンジニアリング部門によってオープンソース化された「コード セキュリティ ルール コレクション」は、デスクトップ、サーバー側、組み込みソフトウェア開発に適用できる C/C++ プログラミング標準の包括的かつ詳細なガイドです。

アドレス: https://github.com/Qihoo360/safe-rules

II. ウェブセキュリティ

エラーが発生しやすい部分をチェックすることで、Web サービスのセキュリティを確保できます。

3. 開発者向けセキュリティガイド

ウェブ開発者のための実践的なセキュリティ対策。ウェブ開発者として、セキュリティリスクを効果的に軽減するために、このリストを仕事の中で熱心に、そして頻繁に活用してください。

アドレス: https://github.com/FallibleInc/security-guide-for-developers

4. Webハッキングを学ぶ

ネットワーク プロトコル、情報収集、一般的な脆弱性の悪用と防御、内部ネットワークへの侵入などのトピックを網羅した、包括的な Web セキュリティ学習ノートのセットです。

アドレス: https://github.com/LyleMi/Learn-Web-Hacking

5. トップ10

このプロジェクトは、ソフトウェアセキュリティの向上に取り組む非営利団体であるOWASP（Open Web Application Security Project）コミュニティによって運営されています。OWASP Top 10は、Webアプリケーションにおける10の主要なセキュリティリスクを列挙したものです。

アドレス: https://github.com/OWASP/Top10

6. APIセキュリティチェックリスト

安全なAPIを開発する際に確認すべき項目のチェックリスト。APIの設計、テスト、導入時に確認する必要がある重要なセキュリティ対策。

アドレス: https://github.com/shieldfy/API-Security-Checklist

III. ツール

コード行数は無数にありますが、セキュリティは最優先事項です。コード量が多い場合、セキュリティの脆弱性を特定するためのツールは不可欠です。

7. 核

このカスタマイズ可能な高速脆弱性スキャナーは、YAML 構文テンプレートに基づいており、エンジニアはカスタム検査方法のセットを簡単に作成できます。

複数のプロトコルをサポートします: TCP、DNS、HTTP など。

ワークフローと動的リクエストを通じて高度な脆弱性スキャンを有効にします。

CI/CD への統合が容易で、リリース プロセスにも簡単に統合できます。

アドレス: https://github.com/projectdiscovery/nuclei

8. ギットリークス

静的アプリケーションセキュリティテスト（SAST）ツール。Gitプロジェクトにパスワード、APIキー、トークンなどの機密情報が含まれているかどうかを検出できます。また、GitフックやGitHub Actionsに簡単に統合でき、コードのコミット時に機密情報を自動検出し、アラートやプッシュブロックを通じて機密情報の漏洩を効果的に防止できます。

アドレス: https://github.com/zricethezav/gitleaks

9. トリビー

包括的なコンテナセキュリティスキャンツール。現在最も人気のあるオープンソースのコンテナイメージ脆弱性スキャナーであり、高速、高精度、依存関係検出、機密性チェック、CIフレンドリーな機能を誇ります。インストールが簡単なだけでなく、ユーザーフレンドリーで、コマンド1つでイメージ内のセキュリティ脆弱性を検出できます。

アドレス: https://github.com/aquasecurity/trivy

10. ヴルハブ

一般公開されているオープンソースの脆弱性環境のコレクションです。Dockerの知識は必要ありません。特定の脆弱性を含む完全なアプリケーションを実行するには、シンプルなコマンド1つだけで済みます。これにより、セキュリティ研究者は脆弱性を簡単に再現・調査することができ、複雑な導入手順の習得、脆弱な旧バージョンのアプリケーションの発見、依存サービスの設定といった煩わしさから解放されます。

アドレス: https://github.com/vulhub/vulhub

やっと

今号のプロジェクトは特に楽しいものではないかもしれませんが、どれも心のこもった真摯な取り組みです。コードセキュリティは決して軽視できるものではありません。インシデントやアクシデントが起こらないか、という二者択一しかありません。「安全第一」と何度も言っても（分かっています、時間があれば直します）、すぐに「安全ヘルメット」をかぶる（セキュリティスキャナーを作動させる）ほど効果的ではありません。