■Về việc thu thập thông tin lỗ hổng bảo mật
Chúng tôi đã triển khai hệ thống phát hiện thông tin CVE của các thư viện đang sử dụng và áp dụng các bản vá khi cần thiết.
Chúng tôi đánh giá từng trường hợp dựa trên CVE và mức độ ảnh hưởng đến dịch vụ của công ty. Đối với các lỗ hổng nghiêm trọng, chúng tôi xử lý càng nhanh càng tốt, còn với các lỗ hổng khác, chúng tôi sẽ xử lý theo thứ tự ưu tiên.
Về nguyên tắc, chúng tôi không công bố nguồn thông tin CVE đang sử dụng, mong quý vị thông cảm.
■Về quy trình áp dụng bản vá
Khi áp dụng bản vá, chúng tôi tiến hành kiểm tra áp dụng bản vá trong môi trường thử nghiệm, và chỉ sau khi xác nhận không có sự cố mới áp dụng vào môi trường sản xuất.
■Về quản lý hồ sơ công việc
Đối với các thư viện được sử dụng trong mã ứng dụng, chúng tôi quản lý lịch sử áp dụng bản vá trên GitHub. Đối với việc cập nhật thư viện trên hệ điều hành, chúng tôi ghi lại công việc cập nhật hình ảnh máy AWS như một bản ghi.