正式なドキュメントは英語版であり、この日本語訳はAI支援翻訳により作成された参考用のものです。日本語訳の一部の内容は人間によるレビューがまだ行われていないため、翻訳のタイミングにより英語版との間に差異が生じることがあります。最新かつ正確な情報については、英語版をご参照ください。

GitLab Advisory Database

GitLabセキュリティアドバイザリーデータベースは、ソフトウェア依存関係に関するセキュリティアドバイザリーのリポジトリとして機能します。最新のセキュリティアドバイザリーで、毎時間更新されます。

このデータベースは、依存関係スキャンコンテナスキャンの両方にとって不可欠なコンポーネントです。

GitLabセキュリティアドバイザリーデータベース (オープンソース版)として、GitLabセキュリティアドバイザリーデータベースのFreeかつオープンソース版も利用できます。オープンソース版は同じ更新を受け取りますが、30日遅延します。

標準化

アドバイザリーでは、脆弱性とその影響を効果的に伝達するために、標準化されたプラクティスを採用しています。

データベースを調査する

データベースのコンテンツを表示するには、GitLabセキュリティアドバイザリーデータベースのホームページにアクセスしてください。ホームページでは、次のことができます:

  • 識別子、パッケージ名、および説明でデータベースを検索します。
  • 最近追加されたアドバイザリーを表示します。
  • カバレッジや更新頻度などの統計情報を表示します。

各アドバイザリーには、次の詳細が記載されたページがあります:

  • 識別子: 公開識別子。たとえば、CVE ID、GHSA ID、またはGitLab内部ID(GMS-<year>-<nr>)など。
  • Package Slug(パッケージSlug): パッケージの種類とパッケージ名がスラッシュで区切られています。
  • 脆弱性: セキュリティ上の欠陥の簡単な説明。
  • 説明: セキュリティ上の欠陥と潜在的なリスクの詳細な説明。
  • Affected Versions(影響を受けるバージョン): 影響を受けるバージョン:
  • 解決策: 脆弱性を修正する方法。
  • Last Modified(最終更新日): アドバイザリーが最後に変更された日付。

オープンソース版

GitLabは、データベースのFreeかつオープンソース版であるGitLabセキュリティアドバイザリーデータベース(オープンソース版)を提供しています。

オープンソース版は、GitLabセキュリティアドバイザリーデータベースの一定期間遅延したクローンであり、MITライセンスが付与されており、30日より古いか、community-syncフラグが付いたGitLabセキュリティアドバイザリーデータベースのすべてのアドバイザリーが含まれています。

インテグレーション

GitLabセキュリティアドバイザリーデータベースの条項では、サードパーティ製のツールによるGitLabセキュリティアドバイザリーデータベースに含まれるデータの使用は禁止されています。サードパーティ製のインテグレーターは、代わりにMITライセンスが付与された、時間遅延型のリポジトリクローンを使用できます。

データベースの使用方法

例として、継続的な脆弱性スキャンの一環として、アドバイザリーの取り込みプロセスにおけるデータベースのソースとしての使用を強調します。

%%{init: { "fontFamily": "GitLab Sans" }}%%
flowchart TB
accTitle: Advisory ingestion process
accDescr: Sequence of actions that make up the advisory ingestion process.

    subgraph Dependency scanning
        A[GitLab advisory database]
    end
    subgraph Container scanning
        C[GitLab advisory database
          open source edition
          integrated into Trivy]
    end
    A --> B{Ingest}
    C --> B
    B --> |store| D{{"Cloud storage
                     (NDJSON format)"}}
    F[\GitLab Instance/] --> |pulls data| D
    F --> |stores| G[(Relational database)]

メンテナンス

脆弱性調査チームは、GitLabセキュリティアドバイザリーデータベースおよびGitLabセキュリティアドバイザリーデータベース(オープンソース版)のメンテナンスと定期的な更新を担当します。

コミュニティのコントリビュートは、advisories-communitycommunity-syncフラグを介してアクセスできます。

脆弱性データベースにコントリビュートする

リストされていない脆弱性をご存知の場合は、イシューをオープンするか、脆弱性を送信して、GitLabセキュリティアドバイザリーデータベースにコントリビュートできます。

詳細については、コントリビュートガイドラインを参照してください。

ライセンス

GitLabセキュリティアドバイザリーデータベースは、GitLabセキュリティアドバイザリーデータベースの条項に従って自由にアクセスできます。