Skip to content
Latchkey

Vulnerability Allowlist とは何か

vulnerability allowlist は、ignore file とも呼ばれ、チームがトリアージして意図的に受け入れた個々のセキュリティ指摘事項を、多くの場合は有効期限と正当化とともに列挙します。scanner はそれを参照してその特定のエントリをスキップしつつ、新しいものには依然として失敗します。これにより、scanning を完全に無効にせずに、受け入れたリスクに対して build を green に保てます。

なぜ重要か

一括の抑制は本当の問題を隠しますが、うるさすぎる scanner は無視されます。理由付きでスコープを絞った allowlist は、避けられない指摘事項を認めつつ gate を意味のあるものに保ちます。

関連ガイド