依存性スキャンによって検出された脆弱性の処理
スケジュールされたパイプラインがdependency_scanning ジョブを毎晩実行します。このジョブは新しい脆弱性を脆弱性レポートに追加します。
新しい脆弱性が検出されると、Slack 通知が Slack 上の#g_distribution に通知されます。この通知を受信したら、次の手順を実行します。
-
Omnibus 脆弱性レポートにアクセスし、該当する脆弱性を探します。脆弱性が正当なものである場合:
-
Create Issueを選択し、omnibus-gitlabのイシュー・トラッカーで機密のイシューを開きます。 - 脆弱性のステータスを
Confirmedに変更してください。 脆弱性が誤検出、重複、またはアクション不可能であることが判明した場合、ステータスをDismissに変更してください。
-
-
イシューに
securityとFor Schedulingのラベルを付けます。エスカレーターによる自動化によって、GitLabセキュリティチームにこのイシューが通知されます。 -
セキュリティチームはディストリビューションの助けを借りてイシューをトリアージし、スケジュールします。
-
そのイシューが当社にとってアクション可能なものであれば、セキュリティチームが対応します:
- 重大性と優先度に基づいてイシューをスケジューリングします。
- 必要なマージリクエスト(MR)を作成し、関連するすべてのブランチを対象とします。
-
脆弱性を修正した MR がマージされ、対応するイシューがクローズされます:
- Omnibus Vulnerability Report をご覧ください。
- 該当する脆弱性を見つけ、ステータスを
Resolvedに設定してください。
-
もしそのイシューが私たちのユースケースに該当しないものであれば、脆弱性レポート・ページでステータスを
Dismissed、該当するイシューをクローズしてください。