VAddyブログ - 継続的セキュリティテストへの道 -

VAddyは手軽にWebの脆弱性検査が実施でき、CI連携など自動化も可能なSaaSです。
既存のVAddyは、VAddyサーバからインターネット経由でWebサーバに検査リクエストを送る仕組みのため、検査対象のWebサーバはグローバルIPを持つ環境が必要でした。

ユーザからの要望として多く挙がっていたのが、イントラネット環境しかテストサーバがない、手元の開発マシンしかない、Travis, CircleCIのようなCI as a Serviceの環境でも検査したい、といったものでした。
これらを解決するために、今回PrivateNet版VAddyをリリースしました。
https://vaddy.net/ja/docs/private-index.html

本機能を開発してテストしている段階で、私の手元のMac上で動いているアプリケーション、VMwareのLinux環境で動いているアプリケーションなどにVAddyの検査を実施していました。
専用のテストサーバを用意する必要もなく、コードをコミットする前にも手軽に脆弱性検査が実施できていたので、開発しながらその便利さを自分で実感していました。
非常に良い機能になったと思いますので、試してみたい方は是非！

現在、フリープランを含むすべてのプランでPrivateNet版VAddyを提供しています。将来は有料プランのみ提供になる可能性があるため、今のうちに是非お試しください。
-> サインアップはこちらから

詳細は、マニュアルをご覧ください。
https://vaddy.net/ja/docs/private-index.html

具体的な動作

VAddy PrivateNetツールを提供し、これを利用して内部のWebサーバを、VAddyの環境に限定公開する形で実現しています。（VAddy PrivateNetツール自体が検査エンジンを搭載して検査するわけではありません）

具体的には、sshのリモートポートフォワードを使って、VAddyサーバからsshトンネルを通って、内部にあるユーザのwebサーバにアクセスが可能になります。
従って、VAddyの検査サーバなどはSaaSのまま提供して随時アップデートしてメンテナンスも我々が行います。

実際の動作の詳細はマニュアルの「動作の仕組み」のページをご覧ください。
https://vaddy.net/ja/docs/private-howtowork.html

VAddy PrivateNetツールはこちらからダウンロードできます。
https://github.com/vaddy/go-vaddy/blob/master/privatenet/README_ja.md

現在の制約

VAddy PrivateNetツールは、Java, bash, sshコマンドを利用するため、現在はMacOS, Linux, BSDなどの環境で動作します。Windowsはサポートしていませんが、WindowsのVagrantなど仮装環境で動くLinux上では利用できます。

また、sshを利用してトンネルを作りますので、社内ネットワークから社外へのsshが禁止されている環境では利用できません。

お問い合わせ先

もっと具体的に聞いてみたい、導入サポートが必要など、お気軽にご連絡ください。
https://vaddy.net/contact/
Twitter: @vaddynet

私たちはユーザと対話を大切にし、一つでも多くの脆弱性を発見してユーザを助けたいと思っていますので、どんな内容でも良いのでフィードバックや質問を頂けると嬉しいです。