https://gl-handbook-ja.page/tags/security_standard_ra/Recent content in Security_standard_ra on GitLab ハンドブック (非公式日本語訳)HugojaSun, 14 Jun 2026 06:40:47 +0900https://gl-handbook-ja.page/handbook/security/product-security/vulnerability-management/Fri, 06 Feb 2026 19:27:57 -0500https://gl-handbook-ja.page/handbook/security/product-security/vulnerability-management/<span class="gl-label gl-label-text-light" style=" --label-background-color: #E24329; --label-inset-border: inset 0 0 0 2px #E24329; " > <span class="gl-link gl-label-link"> <span class="gl-label-text"> Visibility: Audit </span> </span> </span> <p>脆弱性管理は、脆弱性の特定、優先順位付け、緩和、および修正を継続的に行うプロセスです。GitLab では、分析対象のコンポーネントに応じて、さまざまな方法で脆弱性を特定します。このプロセスと関連するツールは、<a href="https://gl-handbook-ja.page/handbook/security/product-security/vulnerability-management/vulnerability-management-team/">脆弱性管理チーム</a>が所有しています。</p> <p>このページでは、主に GitLab における脆弱性管理ポリシーと手順について説明します。GitLab で脆弱性を管理するために使用されるポリシーと手順を総称して脆弱性管理標準と呼びます。</p> <h2 id="クイックリファレンス">クイックリファレンス<a class="td-heading-self-link" href="#%e3%82%af%e3%82%a4%e3%83%83%e3%82%af%e3%83%aa%e3%83%95%e3%82%a1%e3%83%ac%e3%83%b3%e3%82%b9" aria-label="Heading self-link"></a></h2> <ul> <li><a href="https://gl-handbook-ja.page/handbook/security/product-security/vulnerability-management/runbooks/so-you-have-a-vulnerability-finding/">Runbook: 脆弱性が見つかったらどうする？</a></li> <li><a href="https://gl-handbook-ja.page/handbook/security/product-security/vulnerability-management/runbooks/fixing-vulnerabilities/">Runbook: 開発で脆弱性は通常どのように修正されるか？</a></li> <li><a href="https://gl-handbook-ja.page/handbook/security/product-security/vulnerability-management/sla-exceptions/">SLA 内に（または全く）修正できない脆弱性検出があります。どうすればよいですか？</a></li> <li><a href="https://gl-handbook-ja.page/handbook/security/product-security/vulnerability-management/what-is-a-vulnerability/">脆弱性とは何か？</a></li> <li><a href="https://gl-handbook-ja.page/handbook/security/product-security/vulnerability-management/why-should-we-fix-vulnerabilities/">なぜ脆弱性を修正すべきか？</a></li> <li><a href="https://gl-handbook-ja.page/handbook/security/product-security/vulnerability-management/what-does-fixed-mean/">脆弱性が「修正された」と見なされるのはいつか？</a></li> <li><a href="https://gl-handbook-ja.page/handbook/security/product-security/vulnerability-management/closing-issues/">脆弱性追跡 Issue はいつクローズしてよいか？</a></li> <li><a href="https://gl-handbook-ja.page/handbook/security/product-security/vulnerability-management/vulnerability-management-team/">GitLab における脆弱性管理とは何で、彼らは何をしているのか？</a></li> <li><a href="https://gl-handbook-ja.page/handbook/security/product-security/vulnerability-management/automation/">どの自動化ツールが GitLab の脆弱性管理ワークフローを実行しているか？</a></li> </ul> <h2 id="gitlab-における脆弱性管理は何をカバーするか">GitLab における脆弱性管理は何をカバーするか？<a class="td-heading-self-link" href="#gitlab-%e3%81%ab%e3%81%8a%e3%81%91%e3%82%8b%e8%84%86%e5%bc%b1%e6%80%a7%e7%ae%a1%e7%90%86%e3%81%af%e4%bd%95%e3%82%92%e3%82%ab%e3%83%90%e3%83%bc%e3%81%99%e3%82%8b%e3%81%8b" aria-label="Heading self-link"></a></h2> <p>脆弱性管理は、<a href="https://gl-handbook-ja.page/handbook/security/security-assurance/security-risk/storm-program/critical-systems/">GitLab クリティカルシステムの階層化方法論</a> に基づき、GitLab 本番および/または GitLab 顧客データを保存・処理・送信するすべてのシステム、および GitLab が管理するソフトウェアおよびソフトウェア依存関係をカバーします。具体的には:</p> <ul> <li>GitLab 管理のインフラ</li> <li>GitLab ソフトウェア、パッケージ、イメージ、依存関係</li> <li>後から検出されたもの (HackerOne レポート、コミュニティまたはチームメンバーからのバグ報告、ペネトレーションテストの所見)</li> </ul> <h2 id="アプローチと戦略">アプローチと戦略<a class="td-heading-self-link" href="#%e3%82%a2%e3%83%97%e3%83%ad%e3%83%bc%e3%83%81%e3%81%a8%e6%88%a6%e7%95%a5" aria-label="Heading self-link"></a></h2> <p>GitLab の脆弱性管理は、主に脆弱性、脆弱性検出、攻撃対象領域に関するデータの収集にフォーカスしています。これは、さまざまなソースのデータを収集・正規化・関連付けし、所見に直接対応または緩和する自動化されたアクション可能なワークフローに変換するツールを構築することで行います。これが自動的に行えない場合、このプロセスの出力を、所見の緩和または修正の責任を持つ GitLab の DRI が容易に利用・理解できるようにすることを目指しています。私たちのゴールは、このツールを GitLab 自体にフィードバックし、可能な限り GitLab の機能を構築・利用して、自分たちと顧客のワークフローをサポートすることです。</p>https://gl-handbook-ja.page/handbook/security/security-assurance/security-risk/storm-program/Wed, 17 Dec 2025 08:09:08 -0600https://gl-handbook-ja.page/handbook/security/security-assurance/security-risk/storm-program/<span class="gl-label gl-label-text-light" style=" --label-background-color: #E24329; --label-inset-border: inset 0 0 0 2px #E24329; " > <span class="gl-link gl-label-link"> <span class="gl-label-text"> Visibility: Audit </span> </span> </span> <div class="td-card card border me-4"> <div class="card-header -bg-primary"> <strong>GitLab チームメンバーではないけれど、STORM プログラムについてフィードバックを提供したいですか?</strong> </div> <div class="card-body"> <p class="card-text"> <p>私たちは GitLab チームメンバーから定期的に <a href="https://gl-handbook-ja.page/handbook/people-group/guidance-on-feedback/#feedback-at-gitlab">フィードバック</a> を受けており、GitLab チームメンバー以外の方からもフィードバックを提供できる仕組みを設けたいと考え、これにより <a href="https://gl-handbook-ja.page/handbook/values/#iteration">イテレーション</a> を行い、<a href="https://gl-handbook-ja.page/handbook/values/">私たちの価値観</a> により近づくことができます。GitLab チームメンバーではなく、Security and Technology Operational Risk Management (STORM) プログラムまたはその方法論についてフィードバックを提供したい場合は、この <a href="https://docs.google.com/forms/d/e/1FAIpQLSfmD4G6CTdpbCe5Aymoz0oD6Z3Oi1X-2xxYzGNbJ2wcYh6uOA/viewform?usp=sf_link">フィードバックフォーム</a> を使用して匿名でフィードバックを送信してください。</p> </p> </div> </div> <h2 id="目的">目的<a class="td-heading-self-link" href="#%e7%9b%ae%e7%9a%84" aria-label="Heading self-link"></a></h2> <p>GitLab における Security and Technology Operational Risk Management（「STORM」）プログラムの目的は、GitLab の戦略を支援するために、セキュリティおよびテクノロジーの運用リスクを特定、モニタリング、治療、および報告することによって、より良い <a href="https://gl-handbook-ja.page/handbook/leadership/making-decisions/">意思決定</a> を可能にすることです。Security Risk Team は、GitLab に影響を及ぼす可能性のあるセキュリティおよびテクノロジーリスクが効果的に管理されるように、以下の手順（<a href="https://csrc.nist.gov/pubs/sp/800/39/final">NIST の SP 800-39</a>、<a href="https://csrc.nist.gov/pubs/sp/800/30/r1/final">SP 800-30 Rev. 1</a>、および <a href="https://www.iso.org/standard/65694.html">ISO 31000 Risk Management Methodology</a> に示されたガイダンスを考慮して形成されたもの）を活用します。</p> <h2 id="範囲">範囲<a class="td-heading-self-link" href="#%e7%af%84%e5%9b%b2" aria-label="Heading self-link"></a></h2> <p>STORM プログラムの範囲は、テクノロジーに依存しない運用リスクに限定されます。これらのリスクは、リスクアセスメント、チームメンバーからの報告、<a href="https://github.com/jacobdjwilson/awesome-annual-security-reports">業界トレンド</a>、またはコンプライアンス活動の結果など、さまざまな方法で特定できます。アプリケーションの内部統制における役割が非常に重要であるために、そのシステム専用のリスクを作成するインスタンスがある場合があります。これは、その使用がすべての活動で広く普及している GitLab.com に主に限定されます。</p>