セキュリティアドバイザリとは?脆弱性に関する公式な見解
セキュリティアドバイザリは、脆弱性、それが何に影響するか、どれほど深刻か、そしてそれに対して何をすべきかを説明する公式に公開された通知です。
脆弱性が責任を持って公開されると、メンテナーまたは調整機関がセキュリティアドバイザリを公開します。これは欠陥とその対処法についての人間が読める説明です。難解なCVE IDを実行可能な情報に変える文書で、どのバージョンが影響を受け、どのバージョンが修正するかを教えてくれます。
advisoryが含むもの
- 脆弱性とその影響の説明。
- 影響を受けるバージョンとパッチ適用済みバージョン。
- 重大度評価。通常はCVSSスコア付き。
- 回避策、参照、そして関連するCVE。
誰が公開するのか
プロジェクトのメンテナー、ベンダー、エコシステムのデータベース(GitHub Advisory Databaseなど)がadvisoryを公開します。調整された公開では通常、advisoryと修正が同時に到着するため、防御側がパッチを当てる前に攻撃者が欠陥を知ることがありません。
パイプラインへの到達方法
advisoryは脆弱性データベースと依存関係ツールを支えます。advisoryがあなたが使うものに影響する場合、自動化ツール(Dependabotなど)が、多くの場合公開から数時間以内に、パッチ適用済みバージョンへ更新するpull requestを開けます。
文脈の中で重大度を読む
advisoryの重大度は出発点です。それがあなたにとって緊急かどうかは、影響を受けるコードパスを使っているか、それがどれほど露出しているかによります。advisoryは事実を提供し、あなたの文脈が優先度を決めます。
advisoryに基づいて行動する
実践的なループはこうです。advisoryが登場し、あなたのtooling(SBOMに助けられて)が影響を受けるbuildにフラグを立て、あなたがパッチを当てるか緩和します。スキャンをCIに組み込むことで、新しいadvisoryが誰にも気づかれずにこっそりリリースに影響することを防ぎます。
重要なポイント
- セキュリティアドバイザリは脆弱性に関する公式で実行可能な通知です。
- 影響を受けるバージョンと修正されたバージョン、重大度を示し、CVEを参照します。
- advisoryはscannerや、修正を自動化するDependabotのようなツールを支えます。
関連ガイド
What Is a CVE? The Universal ID for a Known VulnerabilityA CVE is a unique identifier for a publicly known security vulnerability. Learn what CVE IDs mean and how the…
What Is Dependabot? Automated Dependency Updates on GitHubDependabot opens pull requests to update vulnerable or outdated dependencies. Learn how it works and how it k…
What Is Automated Dependency Updating? Patching on AutopilotAutomated dependency updating uses bots to keep your packages current and patched. Learn how it works and how…