SSVCを使った脆弱性管理の取り組み - Conoris VRM Labo
スタートアップが抱える脆弱性対応の問題開発をしていると、開発対象のプロダクトが依存する外部パッケージの脆弱性報告を見ることが日々あります。CI/CDを動かしたところ、npmパッケージのバージョンが古いという指摘と「CVE」で始まる番号とが表示された、ということは、開発者の多くが経験していることでしょう。こういった脆弱性を放置していると、セキュリティ問題が発生したときに怖いものです。そこで、なるべく早く対応して、不安をなくしたいところです。 ところで、脆弱性対応はどのパッケージから・どのタイミングで行えばいいのか、その判断に迷っている開発者も多いのではないでしょうか。 多くの組織で行われているのは、脆弱性のレベル・影響・対応優先順位・対応方法を知りたい開発者がセキュリティ担当者に都度尋ねて判断をしていくという方法です。セキュリティ担当者は、開発者から脆弱性を内包するシステムの詳細をヒ
SSVCを参考にした脆弱性管理について本気出して考えてみている(進行中) - ペネトレーションしのべくん
はじめに ここ最近脆弱性管理についてずっと考えていたのですが、SSVCを知ってからというもの、かなりシンプルに考えられるようになりました。試み自体はまだ途上なのですが、以下のようなことを目的として、SSVCの概要や、現時点での経過や私の考えを文字に起こしてみます。 アイデアを整理したい 脆弱性管理・運用に悩んでいる人と傷を舐め合いたい あわよくば有識者の目に止まってご意見を賜りたい(辛辣なのはイヤ) SSVCとは? Stakeholder-Specific Vulnerability Categolizationの略。CERT/CCが考案した脆弱性管理手法です。CVSSが「脆弱性の評価手法」であることに対して、SSVCは「脆弱性対応方針の判断手法」であると言えます。 たぶん今一番分かりやすい解説ページ。PWCだいしゅき! www.pwc.com 実際の資料は、CERT/CCのGitHubリ
SSVC(Stakeholder-Specific Vulnerability Categorization)を活用した脆弱性管理
SSVC(Stakeholder-Specific Vulnerability Categorization)を活用した脆弱性管理 セキュリティ上の脆弱性は日々新たに発見、報告、公開されており、年々そのペースは増加しています。企業は自社のIT環境、工場・設備などのOT環境、自社製品のセキュリティ対策に取り組むにあたり、こうした脆弱性情報を収集し、影響評価を行ったうえで適切な対処を行うことが必要です。 このような脆弱性情報の取り扱いについてはCVE(Common Vulnerability Enumeration)が広く利用されており、脆弱性ごとに一意なIDが割り当てられています。また、米国国立標準技術研究所(NIST)が管理・運営するNational Vulnerability Database(NVD)では、CVE-IDごとにCVSS(Common Vulnerability Scori
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
