セキュリティダッシュボード

GitLab 18.6では、高度な脆弱性管理を使用する、改善されたセキュリティダッシュボードのバージョンが導入されました。

新しいダッシュボードは、GitLab.comとGitLab Dedicatedでデフォルトで有効になっています。GitLab Self-Managedユーザーは、新しいダッシュボードにアクセスするために、高度な脆弱性管理を有効にする必要があります。

組織で高度な脆弱性管理が有効になっていない場合は、レガシーセキュリティダッシュボードを参照してください。

セキュリティダッシュボード

セキュリティダッシュボードを使用して、アプリケーションのセキュリティ対策状況を評価します。GitLabには、プロジェクトで実行されるセキュリティスキャナーによって検出された脆弱性に関するメトリクス、評価、およびチャートのコレクションが用意されています。セキュリティダッシュボードは、次のデータを提供します:

• グループ内のすべてのプロジェクトにおける30日、60日、または90日の期間にわたる脆弱性の傾向。
• 重大度別のオープンな脆弱性の総数。
• プロジェクト全体の脆弱性リスクを比較するための合計リスクスコアです。

前提条件

プロジェクトまたはグループのセキュリティダッシュボードを表示するには、以下が必要です:

• グループまたはプロジェクトのデベロッパーロール以上。
• プロジェクトに少なくとも1つのセキュリティスキャナーが設定されていること。
• プロジェクトのデフォルトブランチでセキュリティスキャンが正常に実行されていること。
• プロジェクトで少なくとも1つの検出された脆弱性。
• 高度な脆弱性管理（高度な検索が有効）。

セキュリティダッシュボードを表示する

セキュリティダッシュボードには、デフォルトブランチで検出された脆弱性からのデータを使用して構築された、フィルター可能なチャートとパネルが表示されます。チャートには、時間経過による脆弱性の推移と重大度カウントが含まれます。多くのチャートのデータは、次の2つのカテゴリにグループ化されています:

• オープン: トリアージが必要または確認済みステータスの脆弱性が含まれます
• クローズ: 無視および解決済みステータスの脆弱性が含まれます

特に明記されていない限り、チャートとパネルにはオープンな脆弱性のみが含まれます。

プロジェクトまたはグループのセキュリティダッシュボードを表示できます。各ダッシュボードは、セキュリティ対策状況に対する独自の視点を提供します。

両方のダッシュボードには、次のものが含まれます:

• チャート
  • 時間経過による脆弱性の推移
  • 脆弱性の重大度パネル
  • Risk score
  • 経過時間ごとの脆弱性
  • CWEトップ10
• ダッシュボード全体のフィルター
• PDF形式でエクスポート

セキュリティダッシュボードを表示するには、次の手順に従います:

1. 上部のバーで、検索または移動先を選択して、プロジェクトを見つけます。
2. セキュリティ > セキュリティダッシュボードを選択します。

プロジェクトセキュリティダッシュボード

プロジェクトセキュリティダッシュボードには、プロジェクトのデフォルトブランチで検出された脆弱性が表示されます。これには以下が含まれます:

• 時間経過による脆弱性の推移チャート。これには、最大90日間の履歴が含まれます。
• 重大度のパネル。これには、重大度別にオープンな脆弱性が表示されます。
• リスクスコアパネルには、プロジェクト全体のセキュリティリスクが表示されます。
• 経過時間ごとの脆弱性チャートは、未解決の脆弱性を経過期間別にグループ化します。
• CWEトップ10チャートは、最も一般的な10個のCWEを表示します。

オープンな脆弱性とは、トリアージが必要または確認済みステータスの脆弱性のことです。無視または解決済みステータスのクローズされた脆弱性は、これらのチャートには含まれません。

グループセキュリティダッシュボード

グループセキュリティダッシュボードは、グループとそのサブグループ内のすべてのプロジェクトのデフォルトブランチで見つかった脆弱性の概要を示します。グループセキュリティダッシュボードは、以下を提供します:

• 時間経過による脆弱性の推移チャート。これには、最大90日間の履歴が含まれます。
• 重大度のパネル。これには、重大度別にオープンな脆弱性が表示されます。
• リスクスコアパネルは、各プロジェクトの合計リスクとリスクを示します。
• 経過時間ごとの脆弱性チャートは、未解決の脆弱性を経過期間別にグループ化します。
• CWEトップ10チャートは、最も一般的な10個のCWEを表示します。

チャート

セキュリティダッシュボードには、プロジェクトとグループの脆弱性を理解し、それらに対処するのに役立つチャートがいくつか含まれています。

時間経過による脆弱性の推移

時間経過による脆弱性の推移チャートは、プロジェクトとグループのダッシュボードの両方で使用できます。30日、60日、または90日の期間にわたるオープンな脆弱性の傾向を示しています。デフォルトの範囲は30日間です。GitLabは365日間脆弱性データを保持します。

チャートを使用して、脆弱性がいつ導入されたか、および時間の経過とともにどのように変化するかを特定します。

詳細を表示するには、次の手順に従います:

1. データポイントの上にカーソルを合わせると、その日の脆弱性の数が表示されます。
2. 期間選択セレクターを使用して、表示期間を30日、60日、または90日に切り替えることができます。
3. 範囲ハンドル（ ）をドラッグして、特定の期間を拡大します。
4. ドロップダウンを使用して、重大度（例: クリティカル、高、中）でフィルタリングします
5. 次のいずれかのオプションでデータをグループ化するには、次のボタンを使用します:
   • 重大度: クリティカル、高、中、低、情報、不明。
   • レポートの種類: SAST、DAST、および依存関係スキャンなど。
6. 90日を超えるデータを調べるには（ただし、過去365日以内）、SecurityMetrics.vulnerabilitiesOverTime GraphQL APIを使用します。
7. 検出されなくなった脆弱性は、自動的にクローズされたものとしてカウントされません。必要に応じて、脆弱性管理ポリシーを使用して自動的にクローズします。

脆弱性の重大度パネル

脆弱性の重大度パネルには、重大度別のオープンな脆弱性の総数が表示されます。

詳細を表示するには、次の手順に従います:

1. 重大度パネルで、調査する重大度を探します。
2. 表示を選択します。
   • 脆弱性レポートが開き、その重大度の脆弱性のみが含まれます。
   • 設定したページレベルのフィルターもすべて適用されます。

リスクスコアパネル

リスクスコアパネルには、グループまたはプロジェクト全体のセキュリティリスクが表示されます。パネルには2つのビューがあります:

1. グループ化なしビューには、グループの合計リスクスコアが表示されます:
   • 円形のゲージには、計算されたリスクスコアが中央に表示されます。
   • カラーバーはリスクレベルを示します:
     • 緑: 低リスク
     • 黄: 中リスク
     • オレンジ: 高リスク
     • 赤: 重大なリスク
2. 各プロジェクトのリスクスコアを比較するには、プロジェクトを選択します:
   • 各プロジェクトのタイルは、プロジェクトのリスクレベルに応じて色分けされます。
   • タイルにカーソルを合わせると、プロジェクト名とリスクスコアを含む詳細が表示されます。
   • タイルを選択し、プロジェクト名を選択して、そのプロジェクトの脆弱性レポートを開きます。

リスクスコアは、以下の複数の要素から計算されます:

• 脆弱性の重大度
• 脆弱性の経過期間
• KEV（既知の悪用された脆弱性）ステータス
• EPSS（Exploit Prediction Scoring System）スコア

経過時間ごとの脆弱性

経過時間ごとの脆弱性チャートは、グループおよびプロジェクトのダッシュボードで利用できます。最初に検出されてからの時間に基づいて、未解決の脆弱性の分布を示します。重大度またはレポートタイプ別に脆弱性をグループ化して、修正アクティビティが必要な場所を特定できます。

詳細を表示するには、次の手順に従います:

1. データにカーソルを合わせると、その期間の脆弱性の数が表示されます。
2. ドロップダウンリストを使用して、重大度（例: クリティカル、高、中）でフィルタリングします
3. 次のいずれかのオプションでデータをグループ化するには、次のボタンを使用します:
   • 重大度: クリティカル、高、中、低、情報、不明。
   • レポートの種類: SAST、DAST、および依存関係スキャンなど。

上位10個のCWE

CWEトップ10チャートは、グループおよびプロジェクトのダッシュボードで利用できます。これは、グループまたはプロジェクトのオープンな脆弱性に関連付けられている、最も一般的な10個のCWE識別子を表示します。

詳細を表示するには、次の手順に従います:

1. データポイントにカーソルを合わせると、各CWEタイプの脆弱性の総数が表示されます。
2. ドロップダウンリストを使用して、重大度（例: クリティカル、中、高）でフィルタリングします。

フィルターバーをダッシュボード全体に適用

結果は2つのレベルでフィルタリングできます:

• ダッシュボードのフィルター: ダッシュボード全体に適用します。これらのフィルターを使用すると、すべてのチャートが更新されます。
• チャートとパネルのフィルター: 表示しているチャートまたはパネルにのみ適用します。

使用可能なダッシュボードフィルターは次のとおりです:

• レポートの種類: SAST、DAST、依存関係スキャンなどのスキャナーでフィルタリングします。
• プロジェクト: 結果を特定のプロジェクトに限定します。グループセキュリティダッシュボードでのみ使用できます。

グループセキュリティダッシュボードでは、以下でフィルタリングすることもできます:

• セキュリティ属性: プロジェクトに適用されているセキュリティ属性でフィルタリングします。これには、ビジネス影響、アプリケーション、ビジネスユニット、インターネット公開、場所のカテゴリが含まれます。これらのフィルターは、包括的（**が次の1つである:**演算子を使用）または排他的（**が次の1つではない:**演算子を使用）にできます。セキュリティ属性を設定し、プロジェクトに適用するには、セキュリティ属性を参照してください。

ダッシュボードフィルターの動作:

• フィルターは、すべてのダッシュボードのチャートとパネルにすぐに適用されます。
• 適用したフィルターは、削除しない限り、セッション全体で適用され続けます。
• ダッシュボードから脆弱性レポートを開くと、アクティブなフィルターが脆弱性レポートに自動的に適用されます。

ダッシュボード全体にフィルターを適用するには、次の手順に従います:

1. ダッシュボードの上部にあるフィルターバーで、結果をフィルタリングを選択します。
2. ドロップダウンリストから、フィルタータイプを選択します。
3. 1つまたは複数のフィルター値を選択します。

PDFとしてエクスポート

セキュリティダッシュボードをPDFとしてエクスポートすることができ、レポートやプレゼンテーションで使用できます。エクスポートには、アクティブなフィルターを含む、ダッシュボード内のすべてのチャートとパネルの現在の状態が取り込まれます。

ダッシュボードをPDFとしてエクスポートするには:

1. 上部のバーで、検索または移動先を選択して、プロジェクトまたはグループを見つけます。
2. セキュリティ > セキュリティダッシュボードを選択します。
3. オプション。フィルターを適用して、エクスポートに含まれるデータをカスタマイズします。
4. PDF形式でエクスポートを選択します。

レガシーセキュリティダッシュボード

高度な脆弱性管理を有効にしていないGitLab Self-Managedの顧客は、最新のセキュリティダッシュボードにアクセスできません。この場合でも、レガシーセキュリティダッシュボードにアクセスできます。

セキュリティダッシュボードは、アプリケーションのセキュリティ対策状況を評価するために使用されます。GitLabには、プロジェクトで実行されるセキュリティスキャナーによって検出された脆弱性に関するメトリクス、評価、およびチャートのコレクションが用意されています。セキュリティダッシュボードには、次のようなデータが表示されます:

• グループ内のすべてのプロジェクトにおける30日、60日、または90日の期間にわたる脆弱性の傾向
• 各プロジェクトにおける、脆弱性の重大度に基づいた文字グレード評価
• 過去365日以内に検出された脆弱性の総数（重大度を含む）

セキュリティダッシュボードデータを使用して、セキュリティ対策状況を改善します。たとえば、365日間のトレンドビューでは、脆弱性が急増した日が表示されます。これらの日のコード変更を調査し、根本原因分析を実行して、将来の脆弱性を防ぐためのより良いポリシーを構築します。

概要については、セキュリティダッシュボード - 高度なセキュリティテストを参照してください。

レガシーダッシュボードの前提条件

セキュリティダッシュボードを表示するには、以下が必要です:

• グループまたはプロジェクトのデベロッパーロールを持っていること。
• プロジェクトに少なくとも1つのセキュリティスキャナーが設定されていること。
• プロジェクトのデフォルトブランチでセキュリティスキャンが正常に実行されていること。
• プロジェクト内で少なくとも1件の脆弱性が検出されていること。

レガシーセキュリティダッシュボードの表示

セキュリティダッシュボードは、プロジェクト、グループ、およびセキュリティセンターの各レベルで表示できます。各ダッシュボードは、セキュリティ対策状況の独自の視点を提供します。

プロジェクトセキュリティダッシュボード

プロジェクトセキュリティダッシュボードは、特定のプロジェクトで時間の経過とともに検出された脆弱性の総数を表示し、最大365日間の履歴データを含みます。このダッシュボードは、デフォルトブランチにあるオープンな脆弱性の履歴ビューです。オープンな脆弱性とは、Needs triageまたはConfirmedステータスのみのものです（DismissedまたはResolvedの脆弱性は除外されます）。

プロジェクトのセキュリティダッシュボードを表示するには、次の手順に従います:

1. 上部のバーで、検索または移動先を選択して、プロジェクトを見つけます。
2. セキュリティ > セキュリティダッシュボードを選択します。
3. 必要なものを絞り込んで検索します。
   • 重大度でチャートを絞り込むには、凡例名を選択します。
   • 特定の期間を表示するには、時間範囲ハンドル（ ）を使用します。
   • チャートの特定の領域を表示するには、左端のアイコン（ ）を選択し、チャート全体をドラッグします。
   • 元の範囲にリセットするには、Remove Selection（ ）を選択します。

脆弱性チャートのダウンロード

プロジェクトセキュリティダッシュボードから脆弱性チャートの画像をダウンロードして、ドキュメントやプレゼンテーションなどに使用できます。脆弱性チャートのイメージをダウンロードするには、次の手順に従います:

1. 上部のバーで、検索または移動先を選択して、プロジェクトを見つけます。
2. セキュリティ > セキュリティダッシュボードを選択します。
3. Save chart as an image（ ）を選択します。

SVG形式でイメージをダウンロードするように求められます。

グループセキュリティダッシュボード

グループセキュリティダッシュボードは、グループとそのサブグループ内のすべてのプロジェクトのデフォルトブランチで見つかった脆弱性の概要を示します。グループセキュリティダッシュボードは、以下を提供します:

• 30日、60日、または90日の期間にわたる脆弱性の傾向
• 最重大度の高いオープンな脆弱性に応じた、グループ内における各プロジェクトの文字グレードレターグレードは、次の基準を使用して割り当てられます:

グループセキュリティダッシュボードを表示するには、次の手順に従います:

1. 上部のバーで、検索または移動先を選択して、グループを見つけます。

2. セキュリティ > セキュリティダッシュボードを選択します。

3. 時間経過による脆弱性の推移グラフの上にカーソルを合わせると、脆弱性に関する詳細が表示されます。

   • 脆弱性の傾向を、30日、60日、または90日の期間で表示できます（デフォルトは90日です）。
   • 90日を超える集計データを表示するには、VulnerabilitiesCountByDay GraphQL APIを使用します。GitLabは365日間データを保持します。

4. プロジェクトのセキュリティ状態セクションの下にある矢印を選択して、特定のレターグレード評価に該当するプロジェクトを確認します:

   • 特定の重大度の脆弱性がプロジェクト内でいくつ見つかったかを確認できます
   • プロジェクト名を選択して、そのプロジェクトのセキュリティダッシュボードに直接アクセスできます

バリューストリームダッシュボードにおける脆弱性のメトリクス

バリューストリームダッシュボードの比較パネルで利用できる追加の脆弱性メトリクスがあり、組織のソフトウエアデリバリーワークフローのコンテキストでセキュリティエクスポージャを理解するのに役立ちます。

関連トピック

• セキュリティセンター
• 脆弱性レポート
• 脆弱性ページ