なぜ脆弱性を修正すべきか？

概要

GitLab または GitLab システムで脆弱性 finding に遭遇することがあり、さまざまな緩和要因や明確な悪用ベクトルの欠如により、単独で見たときにはこれらの脆弱性を解決することが重要に思えない場合があります。このハンドブックページでは、いくつかのシナリオで脆弱性検出を解決する理由としてチームメンバーが考慮していなかった可能性のある理由について詳しく説明します。

脆弱性を修正すべき重要な理由がいくつかあります:

1. GitLab または GitLab システムで脆弱性が悪用される直接の脅威を修復するため
2. 私たちのソフトウェアとシステムのセキュリティを向上させ、まだ可能だと認識していないかもしれない悪用または悪用の組み合わせを利用して、GitLab ユーザーデータの可用性と機密性に対する悪影響を防ぐため
3. 成熟した安全なソフトウェアデリバリーライフサイクル（SDLC）への私たちのコミットメントを示すため。これは、私たちの手順の健全性の指標として、私たちのシステム、イメージ、パッケージのスキャンを可能な限りクリーンに保つことで、私たちのソフトウェアとシステムを信頼できることを GitLab ユーザーに示すのに役立ちます

緩和要因や直接的な悪用シナリオの欠如は、脆弱性検出を修正する必要がないことを意味しません。finding が緩和されているか悪用できないと考える場合、これは通常の SLA に対する例外を正当化するために使えますが、上記の理由により、依然として対処され修正が出荷されるべきです。検出が誤って行われたと考える場合、これは通常セキュリティスキャンにおける誤検知と呼ばれ、検出のエラーを文書化する SLA 除外を申請できます。理想的には、誤検知をソースで解決するために、検出に関する情報を開発グループ（GitLab セキュリティスキャン製品機能向け）および他のすべてのスキャナ向けにサードパーティベンダーまたはプロジェクトにフィードバックします。

ページのソースコードを見る - ページの編集 - please contribute.