脆弱性の対応方針を共有する

脆弱性の対応進捗を確認する

<脆弱性一覧画面キャプチャ>

yamory では、脆弱性個別の対応進捗は、組織やチームで共有されます。利用しているオープンソースの脆弱性と、その脆弱性のリスクへの対応状況が共有されることで、脆弱性を悪用される可能性やそのリスクを常に把握できます。

脆弱性の対応ステータス

  • 未対応:対応判断を行なっていない脆弱性
  • 対応中:対応に着手した脆弱性
  • 完了:対応判断や対応作業が完了した脆弱性

対応ステータスを変更する

<脆弱性詳細画面キャプチャ>

脆弱性の対応ステータスは、判断状況に合わせて「脆弱性詳細」の画面から以下のステップで変更できます。

対応ステータス 判断状況 変更ステップ
未対応 対応判断を行なっていない脆弱性 -
対応中 対応に着手した脆弱性 「対応を開始する」
完了 対応が完了した脆弱性 スキャンにより自動変更
完了 リスクを許容した脆弱性 「その他」「修正しないで完了(脆弱性あり・不明)」
完了 リスクに該当しない 「その他」「修正しないで完了(脆弱性なし)」

変更理由を共有する

対応ステータスを変更した際、「変更した理由」や「判断した内容」についてコメントを残すことができます。入力したコメントは、「脆弱性詳細」画面のタイムラインに表示されます。

<対応ステータス変更確認モーダル画面キャプチャ>

手動で再スキャンを実行する

脆弱性が検出されているソフトウェアをアップデートすると、再スキャンの実行時に対応ステータスが自動で完了に変更されます。
yamory では、再スキャンの実行方法が以下の場合でそれぞれ異なります。

  • GitHub リポジトリをスキャンした場合
  • コマンドラインからスキャンした場合

GitHub リポジトリをスキャンした場合

GitHub リポジトリをスキャンすると、一度スキャンしたリポジトリは日次で自動的にスキャンされます。
再スキャンを手動で行う場合、「スキャン」画面でスキャンしたいリポジトリを選択し、「再スキャン」をクリックすることで、最新のスキャン結果が反映されます。

<スキャン > 「再スキャン」>

コマンドラインからスキャンした場合

一度スキャンしたソフトウェアに新しい脆弱性が検出された場合、コマンドを実行しなくても日次で自動スキャンが行われ、脆弱性情報が更新されます。
コマンドラインからスキャンした場合、以下のいずれかの方法で、再スキャンを手動で実行します。

  • コマンドラインを再実行

    • 「スキャン」画面でスキャンしたいプロジェクトグループの「その他」をクリックし、「スキャンコマンド」を選択してスキャン方法を確認後、コマンドラインから再度スキャンを実行します
  • CI に組み込む

    ⚠️ : CI に組み込まない場合、コマンドラインからスキャンしたソフトウェアに変更が加えられていても yamory がその変更を自動的に検出することができません。