メインコンテンツまでスキップ

リスクフォーカス型ブラックボックス診断が Takumi API で利用可能に

· 約9分
pizzacat83
Software Engineer @ GMO Flatt Security Inc.

Web コンソールで提供してきたリスクフォーカス診断が、Takumi API のブラックボックス診断でも利用可能になりました。

リスクフォーカス型診断は、指定したクレジットの範囲内で、優先度の高い機能・観点から診断を進めるものです。優先度は明示的に指定することも、Takumi に優先度づけを任せることもできます。クレジット上限に達すると、Takumi はそこまでの診断結果(レポート等)を出力して中断します。中断した診断に対して、クレジットを追加して続きから診断を再開することも可能です。

クレジット消費を予測可能にしたい場合や、予算内で重要な箇所を優先的に診断したい場合などに活用いただけます。

Takumi API のクロールワークフローでクレジット上限の指定・追加クロールが可能に

· 約3分
pizzacat83
Software Engineer @ GMO Flatt Security Inc.

Takumi API 経由で実行したクロール(blackbox-crawl ワークフロー)において、クレジット上限を指定して実行できるようになりました。また、終了したクロールに対してクレジットを追加してクロールを続行できるようになりました。Web コンソールの追加クロール機能と同様に、Takumi API 経由のクロールでも、クレジット消費量を制御しながらクロールを進めていただけます。

ブラックボックス診断の「一部だけ診断」「再診断」が Takumi API で利用可能に

· 約7分
pizzacat83
Software Engineer @ GMO Flatt Security Inc.

Takumi のブラックボックス診断における「一部だけ診断」「再診断」はこれまで Web コンソールからのみ利用可能でしたが、Takumi API 経由でもこれらの診断を実行できるようになりました。

  • 一部だけ診断: まず対象アプリケーションの機能をクロールし、Takumi が停止します。その後、診断したい機能や観点を選択して診断を実行します
  • 再診断: 過去の診断結果で脆弱性が指摘された箇所を指定して診断を実行します

これらをサポートするため、ブラックボックス診断 API に対し以下の拡充を行いました。

  • クロールワークフロー blackbox-crawl を追加
    対象アプリケーションをクロールし、洗い出した機能を出力するワークフローです。診断は行いません。
  • 診断ワークフロー blackbox-assessment において、診断観点・機能を指定するオプションを追加
    過去のワークフロー (クロール・診断) で洗い出した機能の中から、診断対象とする機能や観点を選択できます。

PyPI 向け Takumi Guard に3日間の検疫期間を導入しました

· 約4分
Deividas Turskis
Software Engineer @ GMO Flatt Security Inc.

PyPI 向け Takumi Guard に、新しく公開されたパッケージに対する 3日間の検疫期間 を導入しました。

PyPI に新しいバージョンが公開されると、72時間の検疫期間を経てから Takumi Guard 経由で利用可能になります。この待機期間により、悪意あるパッケージがプロジェクトにインストールされる前にセキュリティ分析で検知できるようになります。

Takumi ブラックボックス診断の実行形式をリスクフォーカス型に統一しました

· 約4分
Tsubasa Umeuchi
Software Engineer @ GMO Flatt Security Inc.

Takumi によるブラックボックス診断を実行する際、クレジット上限の指定が必須となりました。これまで診断のメニューのひとつとして提供していた「リスクフォーカス診断」の仕組みがブラックボックス診断の標準動作となります。

本変更により、すべてのブラックボックス診断で消費クレジット量を事前にコントロールできるようになるため、想定外のクレジット消費を防ぐことができます。

Takumi Guard が PyPI に対応

· 約4分
Deividas Turskis
Software Engineer @ GMO Flatt Security Inc.

Takumi Guard が npm に加えて PyPI に対応しました。

pipuvpoetry を使用する Python プロジェクトで、Takumi Guard 経由でインストールをルーティングすることで、CI や開発環境に届く前に悪性パッケージをブロックできるようになりました。

Takumi リスクフォーカス診断が全体診断と優先度の自動設定に対応

· 約3分
Tsubasa Umeuchi
Software Engineer @ GMO Flatt Security Inc.

リスクフォーカス診断に以下の新規機能を追加しました。

  1. 「一部だけ診断」モードに加えて「全体を診断」モードもリスクフォーカス診断に対応しました
  2. 特定の機能・観点の組み合わせに対して、Takumi が診断の優先度を自動的に判断する「おまかせ」機能を追加しました

Takumi API を提供開始

· 約7分
pizzacat83
Software Engineer @ GMO Flatt Security Inc.

Takumi の諸機能を Web UI や Slack を介さずに呼び出せる公開 HTTP API の提供を開始しました。CI/CD パイプラインやチケット管理システムと連携したり、脆弱性管理ワークフローなどに直接組み込んだりすることで、開発ライフサイクルの中で Takumi をよりシームレスにご活用いただけます。

現在は、ホワイトボックス診断とブラックボックス診断の「全体を診断」モードを API 経由でご利用いただけます。今後も「一部だけ診断」モードや自動修正機能など、利用可能な機能を順次拡大予定ですので、ぜひご期待ください。

多要素認証が全ユーザーで利用可能に

· 約2分
Ryoya Tsukasaki
Software Engineer @ GMO Flatt Security Inc.

多要素認証 が Shisho Cloud byGMO の全ユーザーで利用可能になりました。

これまで一部の組織にのみ提供していた本機能を、すべてのユーザーが利用できるようになりました。 加えて組織の管理者は、組織リソースへのアクセスに対して多要素認証を必須化することも可能です。