このドキュメントでは、次の方法について説明します。
- 当社のソフトウェア システムの脆弱性の表面領域を計算する
- 各アプリケーションのランタイム アーキテクチャがビジネス リスク、脆弱性、重大度にどのように影響するかを理解する
- セキュリティ タスクを個々の開発者に割り当てる
このワークフローが気に入らない場合は、開発者としての脆弱性の管理に関するドキュメントをご覧ください。
前提条件
統合の 1 つを介して送信された脆弱性データ。
システムの脆弱性の表面領域を表示する
脆弱性データが New Relic に流入し始めると、さまざまな範囲のビューからデータにアクセスできます。システム全体の概要を表示するには、脆弱性管理の概要ページに移動します。このページには、システムの脆弱性とベースラインのセキュリティ対策を表す精選されたダッシュボードが表示されます。
すべてのエンティティ、ライブラリ、およびアクティブな脆弱性の脆弱性を監査することにより、システムのセキュリティをより深く掘り下げます。
脆弱性管理の概要ページからエンティティを選択して、すべてのエンティティの脆弱性ステータスを確認します。このビューにはすべてのエンティティが表示され、重み付けされた脆弱性スコアと重大度プロファイルに基づいて脆弱性修復をスキャンし、優先順位を付けることができます。
エンティティをクリックすると、脆弱性管理の範囲指定されたエンティティ ビューが開きます。開発者としての脆弱性の管理に関するドキュメントで、スコープ エンティティ ビューの詳細をご覧ください。
脆弱性管理の概要ページからライブラリを選択して、システム内のすべてのライブラリのセキュリティへの影響を確認します。このビューには、サービスで使用されるすべてのライブラリと、脆弱性の数と重大度によるセキュリティへの影響が表示されます。
特定のライブラリをクリックすると、ライブラリを使用するサービスの数、CVE の影響を受けるサービスの数、特定の CVE に関する詳細など、そのライブラリの詳細ビューが表示されます。
[脆弱性管理の概要]ページから [脆弱性]を選択して、ソフトウェア システムのすべての脆弱性を確認します。このビューには、すべての脆弱性、そのソース、影響を受けたエンティティの数、最初と最後に確認された日時が表示されます。
このビューは、特定のバージョンのライブラリで見つかった特定の脆弱性に対応する場合に特に役立ちます。各サービスを確認して影響があるかどうかを確認する代わりに、このビューはエンティティまたはライブラリではなく脆弱性に基づいて情報を要約します。修復が必要な脆弱性を見つけてクリックし、サービスへの直接的な影響を確認して、推奨される修復手順を実行するだけです。
特定の脆弱性の影響を受けるエンティティを特定したら、特定のエンティティの脆弱性の修復をユーザーに割り当てることができます。これにより、複数のチームと所有権構造の間で大規模な修復を整理できます。