スタンドアロン脆弱性ページ

GitLab Ultimate13.0から導入されました

セキュリティダッシュボードの各セキュリティ脆弱性には、それぞれ独立したページがあります。

Standalone vulnerability page

スタンドアロンの脆弱性ページでは、いくつかの異なる方法で脆弱性と対話することができます:

  • 脆弱性ステータスの変更- 脆弱性のステータスを「検出」、「確認」、「却下」、「解決」に変更できます。
  • issueの作成- タイトルと説明に脆弱性レポートの情報を事前に入力して、新しいイシューを作成します。 デフォルトでは、このようなissueは機密扱いです。
  • 解決策- いくつかの脆弱性については、脆弱性を修正するための解決策が提供されています。

脆弱性ステータスの変更

ステータス]ドロップダウンを使用して、脆弱性のステータスを以下の値のいずれかに切り替えることができます:

ステータス 説明
検出 新たに発見された脆弱性のデフォルト状態
確認済み あるユーザーがこの脆弱性を目撃し、本物であることを確認しました。
解散 あるユーザーがこの脆弱性を見て、それを否定しました。
解決済み 脆弱性は修正され、コードベースには存在しません。

脆弱性に対するイシューの作成

脆弱性のイシューを作成するには、[イシューを作成]ボタンを選択します。

これにより、脆弱性の元となったプロジェクトに機密性の高いイシューが作成され、脆弱性レポートから有用な情報が事前に入力されます。 イシューが作成されると、GitLab はイシューページにリダイレクトし、イシューの編集や割り当て、コメントを行えるようにします。

脆弱性の自動修復ソリューション

GitLabが自動的に生成するソリューションを適用することで、いくつかの脆弱性を修正することができます。 GitLabは以下のスキャナーをサポートしています:

自動解決策が利用可能な場合、ヘッダーのボタンは「マージリクエストで解決」と表示されます:

Resolve with Merge Request button

ボタンを選択すると、自動ソリューションでマージリクエストが作成されます。

提案されたパッチの手動適用

脆弱性に対してGitLabが生成したパッチを手動で適用するには、”Resolve with merge request “ボタンのドロップダウン矢印を選択し、”Download patch to resolve “オプションを選択します:

Resolve with Merge Request button dropdown

ボタンをクリックすると、パッチがダウンロードされます:

Download patch button