顧客のセキュリティスキャナーレビューリクエストへの対応
私たちは自社製品を セキュリティスキャナー を使用してスキャンしています。エンジニアリングチームはスキャナーで検出された脆弱性を定期的に修正しています。これは、パッチが利用可能であり、かつ 私たちの環境で悪用可能な脆弱性の修正を優先するときに行われます。
私たちは、お客様自身のスキャンツールや GitLab に統合されたツールで検出された所見について、お客様から問い合わせを受けることがよくあります。私たちは、これらの問題を評価する専門知識を信頼してくださるお客様を大切にしています。そのため、私たちは所見のコンテキスト情報を含む注釈を提供することを目指しています。
スコープ
GitLab イメージ
私たちは、GitLab ファーストパーティイメージで検出された脆弱性のレビュー依頼を受け付けています。これには以下が含まれます:
- GitLab Omnibus -
gitlab/gitlab-ee(Docker Hub) - GitLab Runner -
gitlab/gitlab-runner(Docker Hub) - GitLab CNG イメージ
- GitLab セキュリティスキャナー
提供される注釈は GitLab の最新リリースバージョンに基づきます。GitLab の以前のバージョンに関するリクエストについては、所見が最新バージョンで修正されているかどうかと、未解決の所見について持っているコンテキスト情報を注釈として提供します。
私たちはどのスキャナーの結果を受け付けているか?
私たちはどのスキャナーからの結果も受け付けますが、注釈は私たちの環境で使用しているスキャナーに基づきます。サードパーティのセキュリティスキャナーが使用されている場合は、提出する各脆弱性について以下の情報を提供してください:
- コンテナ名とタグ
- 使用したスキャナー
所見データフィールド
各所見について、以下を含めてください:
- パッケージ名
- バージョン
- CVE ID
- 重大度
- 修正状態
- 修正バージョン(利用可能な場合)
- ロケーション/ファイルパス
- アーティファクトタイプ(OS パッケージ、ライブラリなど)(利用可能な場合)
リクエストには、環境の詳細や懸念している特定のセキュリティリスクなど、有用なコンテキストを必ず追加してください。
形式は編集可能なファイル形式である必要があり、例として CSV、JSON、または社内スプレッドシートなどです。
GitLab はすべての重大度の脆弱性についてスキャナー結果をレビューするか?
現時点では、Critical および High の脆弱性についてのスキャナー結果に注釈を提供できます。Medium および Low の所見にもこれを拡大すべく取り組んでいますが、現時点ではベストエフォートで提供されます。
SLO
私たちのゴールは、顧客のリクエストに 10 営業日以内に返答することです。
上記の標準に準拠したスキャナー所見はどこに提出すればよいか?
お客様の場合、私たちの Field Security チーム が このテンプレート を使って Issue トラッカーに Issue を開いて、社内でリクエストをフォローアップできます。社内のチームメンバーは、上記のガイドラインに従う限り、直接 Issue を開くことができます。
bfd74782)