正式なドキュメントは英語版であり、この日本語訳はAI支援翻訳により作成された参考用のものです。日本語訳の一部の内容は人間によるレビューがまだ行われていないため、翻訳のタイミングにより英語版との間に差異が生じることがあります。最新かつ正確な情報については、英語版をご参照ください。

CVE IDリクエスト

  • プラン: Free、Premium、Ultimate
  • 提供形態: GitLab.com

パブリックプロジェクトであれば、CVE識別子(ID)をリクエストできます。

CVE識別子は、公に公開されたソフトウェア脆弱性に割り当てられます。GitLabは、CVE Numbering AuthorityCNA)です。

プロジェクト内の脆弱性にCVE IDを割り当てることで、ユーザーは安全性を維持し、常に最新の情報を得ることができます。たとえば、dependency scanning toolsは、プロジェクトの脆弱なバージョンが依存関係として使用されている場合を検出できます。

一般的な脆弱性のワークフローは次のとおりです:

  1. 脆弱性に対するCVEをリクエストします。
  2. リリースノートで、割り当てられたCVE識別子を参照します。
  3. 修正がリリースされたら、脆弱性の詳細を公開します。

前提要件

CVE IDリクエストを作成するには、次の前提条件を満たす必要があります:

  • プロジェクトがGitLab.comでホストされていること。
  • プロジェクトがパブリックであること。
  • プロジェクトのメンテナーであること。
  • 脆弱性のイシューがconfidentialであること。

CVE IDリクエストを送信

CVE IDリクエストを送信するには:

  1. 脆弱性のイシューに移動し、CVE IDリクエストを作成を選択します。GitLab CVE projectの新しいイシューページが開きます。

  2. タイトルボックスに、脆弱性の簡単な説明を入力します。

  3. 説明ボックスに、次の詳細を入力します:

    • 脆弱性の詳細な説明
    • プロジェクトのベンダーと名前
    • 影響を受けるバージョン
    • 修正されたバージョン
    • 脆弱性クラス(CWE識別子)
    • CVSS v3 vector

GitLabは、CVE IDリクエストイシューを更新します:

  • リクエストの送信にCVEが割り当てられている場合。
  • CVEが公開されている場合。
  • CVEが公開されたことがMITREに通知された場合。
  • MITREがNVDフィードにCVEを追加した場合。

CVE割り当て

CVE識別子が割り当てられたら、必要に応じて参照できます。CVE IDリクエストで送信された脆弱性の詳細は、スケジュールに従って公開されます。