Content last updated 2025-12-05

PSIRT ランブック

このセクションには、Product Security Incident Response Team (PSIRT) の運用ランブックが含まれています。

CVSS 計算 - GitLab セキュリティ Issue の CVSS スコアを計算するためのガイド
Application Security チームによるパッチリリース時の一般プロセス - セキュリティパッチリリースに対する AppSec チームの関与プロセス
意図しない脆弱性開示への対応 - 意図しない脆弱性開示のさまざまなシナリオを処理するためのランブック
HackerOne プロセス - GitLab のバグバウンティプログラムを通じた脆弱性報告管理のプロセス
Holiday and Friends and Family Day カバレッジ - 祝日と Friends and Family の日における PSIRT カバレッジのプロセス
アップストリームのセキュリティパッチへの対応方法 - アップストリーム依存関係におけるセキュリティパッチの処理プロセス
PSIRT ケースライフサイクル - PSIRT がそのライフサイクルを通じて脆弱性ケースを管理する方法の説明
セキュリティ修正の検証 - セキュリティ修正の検証プロセス

チームメンバーへの注意事項

オンコール中、またはセキュリティインシデントを処理しており、ヘルプやアドバイスが必要な場合は、#security-department Slack チャンネルで連絡するか、Security Engineer On-Call プロセスに従ってエスカレーションしてください。

GitLab のバグバウンティプログラムの目的と概要プロセスの全体像 GitLab の HackerOne プロセスは、構造化されたワークフローを通じて脆弱性報告を管理します。 …

以下のプロセスは、クリティカルリリースプロセスの最初の数ステップを補完するものです。潜在的な severity::1/priority::1 Issue が判明した時点で、PSIRT エンジニアの手 …

このランブックは、HackerOne 報告、発見された脆弱性、その他のセキュリティインシデントへの対応のために SIRT を巻き込んで作業する必要のある PSIRT エンジニア向けです。 …

release-management GitLab Security Patch Release Process This document outlines the process and …

PSIRT がケースをどのように管理するかの説明

GitLab のセキュリティ Issue における CVSS スコアを判定する際の唯一の正典として、GitLab CVSS 計算ツールを参照してください。

release-management How to handle upstream security patches Third parties Sometimes the root cause …

アプリケーションセキュリティエンジニアによる修正のレビューは、修正を実装するエンジニアによって発動されます。脆弱性報告をトリアージしたセキュリティエンジニアが、修正に関するマージリクエストの検証を担当 …

意図しない脆弱性開示の様々なシナリオに対応するためのランブック。

このランブックは、Product Security Incident Response Team が祝日・Friends and Family Day・その他多くのチームメンバーが不在となるイベント期 …