脆弱性の説明と脆弱性の解決のトラブルシューティング

VE と VR のトラブルシューティングリソースガイド

脆弱性の解決と脆弱性の説明を使用していると、エラーが発生することがあります。最も一般的な問題はこのセクションに文書化されています。文書化されていない問題が見つかった場合は、解決策を見つけた後にこのセクションに文書化してください。

ローカルでの開発やテストのサポートが必要な場合は、セットアップガイドを参照してください。

これらの機能の利用可能性については、まずこちらに記載された前提条件を確認してください：脆弱性の説明および脆弱性の解決。

問題	解決策
Duo / VR 機能が利用できない	グループ/プロジェクトに Duo シートが割り当てられていない可能性があります。Duo サブスクリプションアドオンの手順に従ってください。
「The upstream AI provider request timed out without responding」などのアップストリームエラー	サードパーティ AI に問題がある可能性があります。Anthropic の障害が考えられます - ステータスを確認してください。
「an unexpected error has occurred」のような特定の繰り返しエラー	diff パッチまたは MR の作成に問題がある可能性があります。エラーハンドリングコードを参照してください。
偽陽性エラー	空のレスポンスと空の <fixed_code> を偽陽性として処理しています。ドキュメント、レスポンス修飾コードを参照してください。
VR ボタンが無効になっている場合、その CWE は現時点でサポートされているリストに含まれていません。	機能カバレッジの制限：VR は一連の CWE でのみ利用可能です。SSOT ドキュメントおよびスプレッドシートを確認してください。
Elastic でカスタムエラーをクエリする	さらなる調査のためにこのダッシュボードを確認してください。

脆弱性の説明は、すべての SAST 脆弱性で有効になっています。

脆弱性の解決は SAST 脆弱性に対して有効になっていますが、脆弱性の解決でサポートされる脆弱性に文書化された特定の CWE セットのみです。

脆弱性が脆弱性の解決をサポートするかどうかは、CWE 識別子に基づいて判断します。このサポートは 2 つのメカニズムで追跡されます。

脆弱性レコードのデータベースフィールド has_vulnerability_resolution
このデータベースフィールドはインジェスト中に追加およびバックフィルされます。つまり、CWE リスト更新後のデフォルトブランチでパイプラインを正常に実行すれば、最新の値が含まれるようになります。
このフィールドは例えば以下で使用されます：
- 脆弱性レポート（フィルタリングと表示）
- 脆弱性の詳細（例：「AI で解決」の利用可能性）
注意： バックグラウンドマイグレーションはこの値をバックフィルするために厳密には必要ではありませんが、現在は確立されたワークフローの一部です（マイグレーション例を参照）。このプロセスへの変更は明確に文書化する必要があります。
ハードコードされたリスト
- パイプラインの検出結果（例：マージリクエスト内）で使用されます。これらはまだ脆弱性レコードとして完全にインジェストされておらず、データベースの has_vulnerability_resolution フィールドが未設定のままです。

注意： サポートされていない CWE は、プロジェクトレベルで ignore_supported_cwe_list_check フィーチャーフラグを有効にすることでテストできます（MR）。

Elastic ウォッチャー
アラートを確認する Slack チャンネル：#g_srm_security_insights_ai_error_alerts
ウォッチャーで使用される Elastic ログ：https://log.gprd.gitlab.net/app/r/s/foNLr
IaC リポジトリのエラーウォッチャー：https://gitlab.com/gitlab-com/runbooks/-/blob/master/elastic/managed-objects/log_gprd/watches/test_g_srm_security_insights_ai_error_watcher.jsonnet
このウォッチャーのアラート閾値は過去 90 分間で 5 エラーです。必要に応じてウォッチャーをこのページから非アクティブ化できます。閾値の値は編集ページから変更できます。