リスクと対応方法
セキュリティチームからの対応指示
検出された脆弱性に対して、セキュリティチームが「危険な脆弱性」を設定した場合、セキュリティチームのメンバーが入力した開発チームへの対応指示を確認できます。
この脆弱性によるリスク
yamory による、この脆弱性への対応が推奨される理由が表示されています。
危険な脆弱性 公開サービス 攻撃コード( PoC )あり への該当有無や、それによって発生する可能性がある影響の内容を確認できます。
対応方法
yamory による、この脆弱性を修正する対応方法が表示されます。
脆弱性がないバージョンへのアップデートを yamory がスキャンによって検出した場合、脆弱性への対応ステータスが自動で「完了」に変更されます。
脆弱性の依存情報
リポジトリ
yamory がスキャンしたリポジトリが表示されます。
マニフェスト / プロジェクト
ソフトウェアが依存しているマニフェストファイルやプロジェクトが表示されます。
外部ネットワークからパブリックアクセスが可能なアプリケーションやサービスでない場合、リンク先の設定画面からこのマニフェストファイルやプロジェクトの「公開サービス設定」のチェックを外すことで、yamory のオートトリアージレベルを下げることができます。
ソフトウェア
この脆弱性が検出されているソフトウェアが表示されます。
依存関係
この脆弱性が検出されているソフトウェアの依存件数が表示されます。リンク先の画面では、依存階層を示すファイルパスを確認し、対応作業範囲を特定できます。
更新履歴
タイムライン
タイムラインには、以下の情報が表示されます。
- yamory が脆弱性を検出した日時
- 対応ステータスの変更内容と変更日時
- コメントの投稿内容と投稿日時