脆弱性対応の流れ
前職まで、運用フェーズの大規模なシステムに関わる機会がなかったのもあって、意外とこの辺の知見が少ないことに気がついた。そう思っていたとき、一緒に仕事している同僚の対応が参考になったので、雑にメモしておきたくなった。
1. CVE の内容を確認する
- どんな脆弱性か
- どういう条件で攻撃される可能性があるのか
- ユーザー入力のあるアプリケーションとか
- 影響するバージョン
2. あれば、POCのソースコードを確認する
3. 上記の情報と、運用しているシステムの情報を照らし合わせて対応方針を決める
- 緊急性はどうか
- いますぐ対応が必要
- 営業日にできる範囲で対応が必要
- 対応不要
- どんな対応が必要か
- バージョンアップ
- 該当機能を非公開にする
- 該当のコードを書きかえる
- などなど
4. 必要に応じて、対応方針をステークホルダー各所に連絡する
上記の内容をもとにまとめて連絡する。
5. 必要に応じて、GitHubリポジトリの一覧などを作成
対応進捗や要対応かどうか、その理由などを可視化していく。