Content last updated 2025-12-20

週次トリアージ

脆弱性管理チームメンバーが週次トリアージタスクを実施するための実践的なガイダンスを提供します

概要

脆弱性管理チームは、逸脱リクエストSLA 例外 を含む各種リクエストを受領、レビュー、承認/却下します。これらのリクエストをタイムリーに検討するため、その週の新規リクエストの初期トリアージと処理を担う DRI として、ローテーションでチームメンバーがランダムにアサインされます。

各週の初めに自動化が新しい週次トリアージ Issue を作成し、ランダムにチームメンバーを選んでアサインします。Issue は この Issue テンプレート を基に作られ、以下を含みます。

一般的なガイダンス

TODO

個別のガイダンス

SLA 例外

週次トリアージローテーションの一環として、脆弱性管理チームは SLA 例外リクエストをレビューし承認/却下します。SLA 例外リクエストは、SLA 例外ガイドライン に従って他の GitLab 社員が誰でも提出できます。これらのステップは、レビュープロセスをガイドし、SLA 例外リクエスター宛てに一貫したテンプレート化された承認/却下メッセージを提供するためのものです。

  • SLA 例外リクエストの For Approver セクションに記載されたステップに従う
    • 上記の情報をレビューし、ご判断で承認してください。
      • 例外が必要な明確な理由が正当化として伝わっているか?
        • いいえ? -> リクエスターにさらなる情報を要求します。
      • この SLA 例外は適切か? SLA 例外リクエストはどのような場合に適切か?SLA 例外を要求するのが適切でない場合は?

        • いいえ? -> 以下のテンプレートメッセージを記入し、SLA 例外リクエストにコメントとして投稿します。

          Hi @<author>, 

Thank you for raising this request for an SLA Exception, however the Vulnerability Management team cannot approve this exception request as the SLA cannot be met due to <fill in the reason> is within GitLab’s control, this fall's under [When is it not appropriate to request an SLA exception?]<!-- vale gitlab_<type>.handbook.RelativeLinks = NO -->(https://handbook.gitlab.com/handbook/security/product-security/vulnerability-management/sla-exceptions/#when-is-it-not-appropriate-to-request-an-sla-exception)<!-- vale gitlab_<type>.handbook.RelativeLinks = YES -->.

For futher questions please comment here or reach out to `@vulnerability-team` in #security_help

The Vulnerability Management team

/label ~"ExceptionRequestApproval::Declined"

        • はい? -> 例外の承認レビューを続行します。

          • SLA 例外リクエストに記載された修正作業をレビューします。

            • 修正作業が明確に説明されていない場合は、リクエスターに明確化を求めます。

              Hi @<author>

Can you please clarify the remediation plan for this vulnerability in question.

Thanks
The Vulnerability Management team

          • 期待される例外期間を 例外期間の制限 と照らし合わせてレビューします。

            • 要求された例外期間が制限に準拠していない場合、深刻度レベルに対して許可されている最大値に例外期間を設定し、リクエスターに返答します。

              Hi @<author>

The exception length requested is not within the allowed <!-- vale gitlab_<type>.handbook.RelativeLinks = NO -->[Exception Length Restrictions]https://handbook.gitlab.com/handbook/security/product-security/vulnerability-management/sla-exceptions/#exception-length-restrictions)<!-- vale gitlab_<type>.handbook.RelativeLinks = YES -->. We have set the exception length to the maximum for the severity of this vulnerability. If the allowed time frame is not sufficient for remediation, please respond and we will work together to identify and document mitigation solutions.

Thanks
The Vulnerability Management team

          • 修正の詳細が正確で明確であり、例外期間が適切であると満足したら、以下のコメントで承認を完了します。

            Hi @<author>,

Thank you for providing a clear and concise exception request, the Vulnerability management team is happy to approve this request for the requested timeframe.
The due date has been set.

Thanks
The Vulnerability Management team

/label ~"ExceptionRequestApproval::Approved" 
/due in <n> days

          • 整合性を確認し、リクエスターが行っていない場合は適切な リスク対応 ラベルを適用します。

期限間近または期限超過の SLA 例外

週次トリアージローテーションの一環として、期限が近い承認済み SLA 例外のレビューを実施します。これらのステップは、プロセスをガイドし、SLA 例外リクエストオーナーに一貫したテンプレート化されたメッセージを提供するためのものです。

例外が At risk SLA Exceptions テーブルに含まれるためには、期限が週次トリアージローテーション Issue の due_date の前 2 週間以内に該当し、オープン状態である必要があります。

  1. 以下のテンプレートを使用して SLA 例外にコメントを追加します。

    Hi @<author>, 

This SLA Exception is at risk of breaching due date.

Has remediation work been completed?
Can this exception request be closed?

If not, please provide
  - An expected remediation timeline.
  - Detail why the existing extension was missed.
  - A requested to update the exception length if need be.

note: An extension to the initial exception length is not a given and will require approval by the Vulnerability Management Team.

If all remediation work has been completed and deployed
  - Please confirm this is the case.
  - Please close close the SLA Exception Request issue.

Thank you for your time.
The Vulnerability Management team

ソフトウェアサプライチェーン脆弱性調査

PSIRT または他のチームから、ソフトウェアサプライチェーンに影響する可能性のある新たな脆弱性やマルウェア攻撃のニュースについて連絡が来ることがあります。潜在的なソフトウェアサプライチェーン脆弱性は、高い優先度で扱う必要があります。

週次トリアージローテーションのチームメンバーは、Vulnerability Management Internal プロジェクトで利用可能なテンプレートを使用して、初期のサプライチェーン脆弱性調査 Issue を作成する責任を持つ必要があります。追跡のため、週次トリアージ Issue にこの調査 Issue へのリンクを記載します。

週次トリアージローテーションのチームメンバーは、すべての分析、修正、緩和作業を実行することは期待されていません。インパクトに対応してコミュニケーションする規模を確保できるよう、関連するチームを適切に関与させる必要があります。

詳細については ソフトウェアサプライチェーン脆弱性調査ランブック を参照してください。

POA&M

TODO

逸脱リクエスト

TODO

Wiz の Issue/検出

TODO

最終更新 June 14, 2026: Merge pull request #403 from kyama0/claude/cool-turing-ls6eck (bfd74782)
ページのソースコードを見る - ページの編集 - please contribute. Creative Commons License