脆弱性管理プロセスやパッチの適用頻度は定められていますか

2022-04-22 09:50:25 UTC 2022-11-28 10:08:05 UTC

■脆弱性情報の収集について

利用しているライブラリ等のCVE情報を検知する仕組みを導入しており、必要に応じたパッチ適用を合わせて実施しております。

CVEと弊社サービスへの影響をベースに都度判断し、致命的な脆弱性については可能な限り速やかに対応、そうでないものは順次対応しています。

利用しているCVEの情報ソースに関しては原則開示しておりませんのでご了承ください。

 

■パッチの適用プロセスについて

パッチ適用時はテスト環境でパッチの適用テストを行い、不具合がない事を確認した上で、本番環境に適用しております。

 

■作業記録の管理について

アプリケーションコードで利用するライブラリについては、GitHub上でパッチ適用履歴を管理しております。OS上のライブラリ更新については、AWSのマシンイメージ更新作業をログとして記録しております。