前職まで、運用フェーズの大規模なシステムに関わる機会がなかったのもあって、意外とこの辺の知見が少ないことに気がついた。そう思っていたとき、一緒に仕事している同僚の対応が参考になったので、雑にメモしておきたくなった。

1. CVE の内容を確認する

• どんな脆弱性か
• どういう条件で攻撃される可能性があるのか
  • ユーザー入力のあるアプリケーションとか
• 影響するバージョン

2. あれば、POCのソースコードを確認する

3. 上記の情報と、運用しているシステムの情報を照らし合わせて対応方針を決める

• 緊急性はどうか
  • いますぐ対応が必要
  • 営業日にできる範囲で対応が必要
  • 対応不要
• どんな対応が必要か
  • バージョンアップ
  • 該当機能を非公開にする
  • 該当のコードを書きかえる
  • などなど

4. 必要に応じて、対応方針をステークホルダー各所に連絡する

上記の内容をもとにまとめて連絡する。

5. 必要に応じて、GitHubリポジトリの一覧などを作成

対応進捗や要対応かどうか、その理由などを可視化していく。

6. 必要があれば実際に対応していく