脆弱性の対応優先度を確認する

スキャンしたリポジトリやプロジェクトから検出されている脆弱性を確認してみましょう。

<ダッシュボードのキャプチャ>

yamory のオートトリアージ

yamory では、リポジトリやプロジェクトをスキャンして検出された脆弱性を、外部から攻撃を受けるリスクを以下の観点で考慮し、対応優先度別に分類します。
脆弱性自体の深刻度に加えて、脆弱性が存在するシステムの使用状況と攻撃コード( PoC )の有無を加味することで、組織やチームにとって対応優先度の高い脆弱性が明らかになります。

  1. 危険な脆弱性 :脆弱性の内容は Web システムに被害をもたらす可能性があるか(ネットワーク越しに攻撃可能で、CVSS で Critical または High に相当する脆弱性、または yamory で危険と判断した脆弱性を指す)
  2. 攻撃コード( PoC )あり :検出された脆弱性に関連する攻撃コードが流通しており、悪用可能な状態にあるか
  3. 公開サービス :脆弱性が検出されているシステムが外部からアクセス可能であり、攻撃が可能な状態にあるか

検出された脆弱性の対応優先度を確認する

yamory では、攻撃者が悪用する可能性がある脆弱性に対して、迅速な対応を推奨しています。迅速な対応が推奨される脆弱性は、その想定されるリスクに応じて、4つのカテゴリーに分類され、以下のような対応目安を設けることができます。

分類名 想定されるリスク 対応目安 判断基準
Immediate 即時に影響を受ける可能性がある 検出された当日中に、影響有無の調査、対処を推奨します 危険な脆弱性 公開サービス 攻撃コード( PoC )あり にあてはまる脆弱性
Delayed 攻撃コードの流通次第で、即時に影響を受ける可能性がある 2週間以内に影響有無の調査、対処を推奨します 危険な脆弱性 公開サービス にあてはまる脆弱性
Minor 外部から直接攻撃が可能な状態ではないが、二次被害として影響を受ける可能性がある 月に1回程度の頻度で、影響有無の調査、対処を推奨します Immediate または Delayed にあてはまらない脆弱性であり、かつ CVSS が Critical または High と判断された脆弱性
None 被害につながる可能性が低い 定期的なメンテナンス等で影響有無の調査、対処を推奨します Immediate または Delayed にあてはまらない脆弱性であり、かつ CVSS が Medium 以下と判断された脆弱性