脆弱性追跡 Issue のクローズ

GitLab では、GitLab を使用して脆弱性所見の検出と修正を追跡しています。修正作業の場合、脆弱性追跡 Issue（通常の GitLab Issue）を使用して、特定の脆弱性所見（通常は脆弱性が検出された 1 つ以上の資産に対して）を修正するために必要な作業を追跡します。

脆弱性追跡 Issue をクローズするには、次のいずれかの基準を満たす必要があります:

1. 所見が修正され、修正済みであることが検証され、想定されるユーザーに利用可能になっている
2. 所見が誤検知の検出であり、再検出を防ぐために必要な作業が実施されている
3. 所見がベンダーからのサードパーティ依存関係に存在し、ベンダーが影響がないために脆弱性を修正しないと表明し、SLA 例外または Deviation Request が提出されている

その他の状況では、検出が誤ってクローズされて所見が忘れ去られないようにするため、Issue をクローズする前に通常はさらに作業が必要であり、結果として Issue クローズは適切ではありません。

脆弱性の緩和と解決に関するさらなるガイダンスは、以下のランブックで利用できます:

• 脆弱性の所見を見つけたら？
• 脆弱性の修正

さらなるガイダンスが必要な場合、GitLab コードの脆弱性については、Application Security チーム または Vulnerability Management に連絡してください。

ページのソースコードを見る - ページの編集 - please contribute.