脆弱性の影響範囲を確認する

脆弱性ごとに対応方針を確認する

yamory で検出した脆弱性は、「脆弱性」画面に表示されます。yamory のオートトリアージ機能を有効にしている場合、検出された脆弱性ごとにトリアージレベルが設定されており、トリアージレベルごとに脆弱性を確認できます。

<脆弱性一覧画面キャプチャ>

脆弱性詳細情報の見方

<脆弱性詳細画面キャプチャ>

「脆弱性」画面で脆弱性のリストをクリックすると、その脆弱性の情報が表示されます。
「脆弱性詳細」画面では、以下の情報を確認できます。

リスクと対応方法

  • セキュリティチームからの対応指示
  • この脆弱性によるリスク
  • 対応方法

脆弱性の依存情報

  • リポジトリ
  • マニフェスト / プロジェクト
  • ソフトウェア
  • 依存関係

更新履歴

  • タイムライン

リスクと対応方法

セキュリティチームからの対応指示

<セキュリティチームからの対応指示箇所のキャプチャ>

検出された脆弱性に対して、セキュリティチームが「危険な脆弱性」を設定した場合、セキュリティチームのメンバーが入力した開発チームへの対応指示を確認できます。

この脆弱性によるリスク

<この脆弱性によるリスク箇所のキャプチャ>

yamory による、この脆弱性への対応が推奨される理由が表示されています。
危険な脆弱性 公開サービス 攻撃コード( PoC )あり への該当有無や、それによって発生する可能性がある影響の内容を確認できます。

対応方法

<対応方法箇所のキャプチャ>

yamory による、この脆弱性を修正する対応方法が表示されます。
脆弱性がないバージョンへのアップデートを yamory がスキャンによって検出した場合、脆弱性への対応ステータスが自動で「完了」に変更されます。

脆弱性の依存情報

<脆弱性詳細画面の右カラム箇所のキャプチャ>

リポジトリ

yamory がスキャンしたリポジトリが表示されます。

マニフェスト / プロジェクト

ソフトウェアが依存しているマニフェストファイルやプロジェクトが表示されます。

💡 : 外部ネットワークからパブリックアクセスが可能なアプリケーションやサービスでない場合、リンク先の設定画面からこのマニフェストファイルやプロジェクトの「公開サービス設定」のチェックを外すことで、yamory のオートトリアージレベルを下げることができます。

ソフトウェア

この脆弱性が検出されているソフトウェアが表示されます。

依存関係

この脆弱性が検出されているソフトウェアの依存件数が表示されます。リンク先の画面では、依存階層を示すファイルパスを確認し、対応作業範囲を特定できます。

更新履歴

タイムライン

タイムラインには、以下の情報が表示されます。

  • yamory が脆弱性を検出した日時
  • 対応ステータスの変更内容と変更日時
  • コメントの投稿内容と投稿日時