AppSec のエンゲージメントプランと Secure Code Warrior の利用状況を測定する方法
AppSec エンジニアはどのように Secure Code Warrior トレーニングプログラムに貢献できるか? AppSec チームの誰かが Secure Code Warrior (SCW) …
アプリケーションセキュリティ Runbook
新しいチームメンバーへの注意
ローテーション (HackerOne または トリアージローテーション) に参加しているとき、またはオンボーディングプロセスを進めていて助けやアドバイスが必要なときは、#security_help Slack チャンネルで連絡するか、AppSec Sync ミーティングで尋ねてください。質問や助けが必要になりそうなシナリオの例を以下に挙げます:
- オンボーディングタスク、脅威モデリング、または AppSec レビューを行っており、行き詰まっている、あるいは何かを特に対処する方法が分からない場合
- ピングローテーションに参加していて、特定の状況にどう対処するか、特定の質問にどう取り組むかが分からない場合
- HackerOne ローテーションに参加していて、難しいレポートに対処しなければならない場合
AppSec Engineer's Local Setup
セキュリティ Issue や MR を評価する際、問題を再現したり、根本原因を掘り下げたり、さらなる影響を調べたりする手段を持っておくと役立ちます。これはオンボーディングの最初の数週間で GitLab …
AppSec 脅威モデリングプロセス
この脅威モデリングプロセスは、GitLab 機能向けに調整されています。
トリアージローテーション
Application Security チームのメンバーは、Application Security チームへの受信リクエストの責任者 (DRI) としてアルファベット順に割り当てられます。通常は週 …
セキュリティダッシュボードレビュー
頻度: 毎日
AppSec エンジニアは GitLab セキュリティツールの検出結果をトリアージする責任があります。この役割には主に 2 つの機能があります。
検出結果を検証し、修正のためにエンジニア …
AppSec エンジニア向け依存関係レビューガイドライン
このコンテンツは Supply Chain Security for Open Source Dependencies and Libraries に移動しました。
AppSec の祝日および Friends and Family Day のカバレッジ
このランブックでは、Application Security チームのメンバーが、祝日、Friends and Family Day、その他多くのチームメンバーがオフィス外にいることが想定されるイベン …
AppSec よくある質問
AppSec 関連で最もよく寄せられる質問のキュレーションリスト
AppSec レビューテンプレートプロセス
このレビューテンプレートは、GitLab 機能のアプリケーションセキュリティレビュー向けに調整されています。一部は他のソフトウェアにも適用できる場合がありますが、適用できない部分もあります。
Federal AppSec コンテナスキャン結果レビュープロセス
特定の顧客は、GitLab が提供するコンテナを既知の脆弱性やその他のセキュリティ上の懸念についてスキャンします。GitLab Federal Application Security チームは、これ …
JiHu コントリビューションのマージモニターレポート
Merge Monitor ツールは、JiHu がコントリビュートする公開 GitLab リポジトリを調査し、以下の条件を満たすマージリクエストを探します:
マージされた JiHu …
Package Hunter の検出結果の調査
Package Hunter の検出結果一覧 Package Hunter 関連の検出結果はすべてこのダッシュボード(社内リンク)で確認できます。
ネットワーク接続の検出結果 例としてこの検出結果を使 …
バグハンティングデーのプロセス
バグハンティングデーのプロセス アプリケーションセキュリティチームは、毎月最終金曜日にバグハンティングデーを行っています。
目標 目的は、チームメンバーがレビュー中に観察、議論、または気付いたが、詳細 …
最終更新 June 14, 2026: Merge pull request #403 from kyama0/claude/cool-turing-ls6eck (
bfd74782)