開発者として脆弱性を管理する

このドキュメントでは、次の方法について説明します。

• 1 つまたはいくつかの正常なアプリケーション/サービスを維持する
• ソフトウェア スタック内の最も差し迫った脆弱性を特定する
• 脆弱性の深刻度を理解する
• 日常のワークフローでセキュリティ チームのタスクを明確にすることで、少ない労力でより安全なソフトウェアを簡単に提供できます。

このワークフローが気に入らない場合は、セキュリティ チームとしての脆弱性の管理に関するドキュメントをご覧ください。

前提条件

統合の 1 つを介して送信された脆弱性データ。

アプリケーションの脆弱性の健全性を維持する

脆弱性データが New Relic に流入し始めると、さまざまな範囲のビューからデータにアクセスできます。

特定のアプリケーションまたはサービスの健全性を監視するには、 one.newrelic.com > All capabilities > APM & services > (select an entity) > Triage > Vulnerability Managementに移動して、エンタープライズ スコープ ビューを使用します。 より広い範囲については、セキュリティ チームとしての脆弱性の管理に関するドキュメントを参照してください。

エンティティのセキュリティ概要ページには、アプリケーションまたはサービスのセキュリティの概要が表示されます。重大な脆弱性の数、過去の新しい脆弱性の視覚化、修正までの平均時間などの精選されたダッシュボードは、アプリケーションまたはサービスの現在および過去のセキュリティの一般的な概要を提供します。

脆弱性の特定と修正

脆弱性に優先順位を付ける主な方法は 2 つあります。

• 自分で脆弱性をトリアージして優先順位を付ける
• セキュリティ チームまたは他の人によって割り当てられた脆弱性を修復する

トリアージと優先順位付け

サービスまたはアプリケーションに公開されているすべての脆弱性を表示するには、エンティティ セキュリティの概要ページからVulnerabilitiesタブを選択します。

このページには、すべての未解決の脆弱性が表示され、重大度やソースなどの属性でフィルタリングできます。 特定の脆弱性をクリックすると、その重大度、範囲、ソース、修復手順に関する詳細情報が表示されます。

割り当てられた脆弱性を解決する

セキュリティ チームやその他の担当者が脆弱性をトリアージし、個々の脆弱性の修復をあなたに割り当てる場合があります。 自分に割り当てられた脆弱性を見つけるには、エンティティ セキュリティの概要ページからVulnerabilities assigned to meを選択します。

この画面には、割り当てられたすべての脆弱性が表示されます。 脆弱性を選択すると、その影響と修復手順に関する詳細情報が表示されます。

脆弱性アラートを設定する

設定された重大度の脆弱性が発生したときに通知を受け取るには、Slack または Webhook を介してアラートを設定します。

Slackをセットアップする 集計

1. 脆弱性管理画面で、

   Manage security notifications

2. Add a Slack

   を選択します。

3. Slack settings

   の下で、目的地を選択するか、クリックして目的地を作成します。

   。

4. Slack settings

   の下で、通知を送信するチャネルを選択します。

5. Notification rules

   の下で、さまざまな重大度レベルの脆弱性に関する通知を受信するためのルールを構成します。

Webhookを設定する

1. 任意の脆弱性管理画面で、

   Manage security notifications

   を選択します。

2. Add a Webhook

   を選択します。

3. Webhook settings

   の下で、目的地を選択するか、クリックして目的地を作成します。

   。 Webhook 宛先の作成の詳細については、こちらをご覧ください。

4. Webhook settings

   の下に、チャネル名を作成します。

5. Notification rules

   の下で、さまざまな重大度レベルの脆弱性に関する通知を受信するためのルールを構成します。