[和訳] InSpecによる“Spectre”と“Meltdown”脆弱性の検知 #getchef #inspec #spectre #meltdown
この記事は1年以上前に投稿されました。情報が古い可能性がありますので、ご注意ください。
本稿は Detect Spectre and Meltdown Vulnerabilities with InSpec (2018/1/16) の和訳です。
1月、 Google社のProject Zero が、モダンなプロセッサの多くに影響を及ぼす通称“Spectre”および“Meltdown”と呼ばれる脆弱性を公開しました。この脆弱性は、分岐予測や投機的実行などで知られた、モダンなCPUにおけるパフォーマンスの最適化の悪用によって発生します。より詳細な情報は、 Spectre Attackのウェブサイト をご確認ください。
多くのOSベンダはすでにパッチを発行しており、これらの脆弱性の検知手段やワークアラウンドを提供しています。ハードウェアに基づいた脆弱性のため、ハードウェア内の欠陥を修復するにはインテルなどCPUベンダの対応が必要です。OSベンダはこの問題に対応するために、ハードウェアの特定の機能を無効にする、あるいはカーネルのページテーブルの隔離といったソフトウェア最適化を実装するパッチを提供しています。
脆弱性の有無を検知し、脆弱性があればChef Recipeがそれを修正するよう、ChefのコミュニティやユーザはすでにInSpecルールを書いています。オーストラリアにあるDevOpsに特化したコンサルタント企業 Vibrato 社の主席顧問 Nathan Dines氏は、自身のInSpecルールを Chef Supermarket に公開し、次のように述べています:
「このInSpecプロファイルを配布することで、 Chef Automate を利用している我が社の顧客は、どのサーバーが脆弱なのかを正確に特定でき、 タイムリーで体系的な問題軽減に成功しています。一方で、Chef Automateを利用していない顧客については、アドホック基盤でどのように実行するかをご案内するとともに、Chef Automateが広範囲にわたって提供できる可視性についての理解を深めるご説明をしました。今では、注意が必要なマシン、また体系的な更新の必要があるマシンを顧客が自ら特定できるようになりました。」
MeltdownとSpectreは比較的新しい脆弱性です。 特にSpectreはいまだ変化を続けている問題で、その修正についても発展段階にあります。これらの脆弱性に迅速に対応するために、オープンソースの力を借りて脆弱性に関する知識をユーザの皆さまに素早く展開できたことを誇りに思います。そしてVibrato社には、ユーザのコンピュータシステムセキュリティへの貢献に感謝いたします。
InSpecとCompliance Automationについてもっと知りたい方は:
- デモ動画 を見てInSpecをダウンロードする
- Learn Chef Rally のハンズオンチュートリアルでInSpecの使い方を学ぶ
- “コンプライアンス自動化: 開発と情報セキュリティの溝を埋める” ホワイトペーパーをダウンロードする