■脆弱性情報の収集について
利用しているライブラリ等のCVE情報を検知する仕組みを導入しており、必要に応じたパッチ適用を合わせて実施しております。
CVEと弊社サービスへの影響をベースに都度判断し、致命的な脆弱性については可能な限り速やかに対応、そうでないものは順次対応しています。
利用しているCVEの情報ソースに関しては原則開示しておりませんのでご了承ください。
■パッチの適用プロセスについて
パッチ適用時はテスト環境でパッチの適用テストを行い、不具合がない事を確認した上で、本番環境に適用しております。
■作業記録の管理について
アプリケーションコードで利用するライブラリについては、GitHub上でパッチ適用履歴を管理しております。OS上のライブラリ更新については、AWSのマシンイメージ更新作業をログとして記録しております。