Vulnerability Allowlist とは何か
vulnerability allowlist は、ignore file とも呼ばれ、チームがトリアージして意図的に受け入れた個々のセキュリティ指摘事項を、多くの場合は有効期限と正当化とともに列挙します。scanner はそれを参照してその特定のエントリをスキップしつつ、新しいものには依然として失敗します。これにより、scanning を完全に無効にせずに、受け入れたリスクに対して build を green に保てます。
なぜ重要か
一括の抑制は本当の問題を隠しますが、うるさすぎる scanner は無視されます。理由付きでスコープを絞った allowlist は、避けられない指摘事項を認めつつ gate を意味のあるものに保ちます。
関連ガイド
What Is a Dependency Review Gate?A dependency review gate is a CI check that inspects added or changed dependencies in a pull request and bloc…
What Is a Security Baseline?A security baseline is the agreed minimum set of controls a build or environment must meet, used as the refer…
What Is a Compliance Scan?A compliance scan is an automated check that evaluates code, configuration, or infrastructure against regulat…