正式なドキュメントは英語版であり、この日本語訳はAI支援翻訳により作成された参考用のものです。日本語訳の一部の内容は人間によるレビューがまだ行われていないため、翻訳のタイミングにより英語版との間に差異が生じることがあります。最新かつ正確な情報については、英語版をご参照ください。

Security Analystエージェント

  • プラン: Ultimate
  • アドオン: GitLab Duo Core、Pro、またはEnterprise
  • 提供形態: GitLab.com、GitLab Self-Managed、GitLab Dedicated
  • この機能は、GitLabクレジットを使用します。

Security Analystエージェントは、GitLabの脆弱性管理およびセキュリティ分析ワークフローを支援する、特殊なAIアシスタントです。セキュリティの専門知識と、GitLabのセキュリティ機能、脆弱性レポート、セキュリティダッシュボード、コンプライアンスツールに関する深い知識を組み合わせることで、セキュリティに関する調査結果の効率的なトリアージ、評価、修正を支援します。

Security Analystエージェントは、以下に関する支援が必要な場合に使用します:

  • 脆弱性トリアージ: さまざまなスキャンタイプにわたって、セキュリティに関する調査結果を分析し、優先順位を付けます。
  • リスク評価: 脆弱性の重大度、悪用可能性、ビジネスリスクを評価します。
  • 誤検出の特定: 良性の調査結果から、本物の脅威を区別します。
  • コンプライアンス管理: 規制要件と修正タイムラインを理解します。
  • セキュリティレポート: セキュリティ対策状況と修正の進捗状況の要約を生成します。
  • 修正計画: セキュリティ脆弱性に対処するための、実行可能な計画を作成します。
  • セキュリティワークフローの自動化: 反復的なセキュリティ評価タスクを効率化します。

Security Analystエージェントは、脆弱性の状態、重大度レベル、セキュリティスキャナーの出力など、GitLab固有のセキュリティ実装を理解します。EPSSスコア、共通脆弱性識別子データ、到達可能性分析を解釈して、コンテキストに応じたセキュリティガイダンスを提供できます。

Security Analystエージェントへのアクセス

前提条件:

  • セキュリティスキャンが有効になっているGitLabプロジェクトで作業している必要があります。
  • 基本エージェントをオンにする必要があります。

  1. 上部のバーで、検索または移動先を選択して、プロジェクトを見つけます。

  2. GitLab Duoのサイドバーで、新しいGitLab Duo Chat pencil-square )または現在のGitLab Duo Chat duo-chat )を選択します。

    画面右側のGitLab Duoサイドバーに、Chatの会話が表示されます。

  3. 新しいチャット duo-chat-new )ドロップダウンリストから、セキュリティアナリストを選択します。

  4. セキュリティ関連の質問またはリクエストを入力します。リクエストから最良の結果を得るには、次の点に留意してください:

    • セキュリティ要件とリスク許容度に関するコンテキストを提供します。
    • どの種類の脆弱性またはスキャン結果に焦点を当てているかを指定します。
    • 分析をリクエストする場合は、関連するプロジェクトまたはコンポーネントの詳細を含めます。
    • Security Analystエージェントの推奨事項がセキュリティポリシーと一致しない場合は、説明をリクエストしてください。
    • 特定の調査結果について議論する場合は、特定の脆弱性IDまたはURLを使用してください。

プロンプトの例

  • 脆弱性分析:
    • 「プロジェクト内のすべての重大な脆弱性を表示してください。」
    • 「到達可能な0.7を超えるEPSSスコアを持つ脆弱性をリストしてください。」
    • 「悪用可能性に基づいて、どのSASTの調査結果を優先すべきですか?」
    • 「(コンポーネント名)の脆弱性のセキュリティ影響を分析してください。」
    • 「このリリースと前のリリースの間の脆弱性の傾向を比較してください。」
  • リスク評価:
    • 「これらのコンテナスキャンの調査結果のビジネスリスクは何ですか?」
    • 「この依存脆弱性が当社のユースケースに影響を与えるかどうかを評価するのを手伝ってください。」
    • 「信頼境界を越える脆弱性の重大度を評価してください。」
    • 「どの脆弱性が本番環境に最大のリスクをもたらしますか?」
  • トリアージと管理:
    • 「到達不能なコードによる誤検出としてマークされている依存関係スキャンの脆弱性を、すべて却下してください。」
    • 「既知のエクスプロイトを持つすべてのコンテナスキャンの脆弱性を確認してください。」
    • 「信頼境界を越えるすべての脆弱性の重大度を高に更新してください。」
    • 「過去1週間に却下された脆弱性を、その理由とともに表示してください。」
    • 「再評価のために、脆弱性のステータスを検出された状態に戻してください。」
  • イシュー管理:
    • 「確認されたすべての重大度の高いSAST脆弱性に対するイシューを作成し、最近のコミッターに割り当ててください」
    • 「修正を追跡するために、脆弱性(脆弱性ID)をイシュー(イシューID)にリンクしてください。」
    • 「重要なインフラストラクチャの脆弱性に対する修正タスクを生成してください。」
    • 「すべての認証関連の脆弱性を追跡するためのセキュリティエピックを作成してください。」
  • レポートとコンプライアンス:
    • 「現在のセキュリティ対策状況に関するエグゼクティブサマリーを生成してください。」
    • 「修正の進捗状況を示すコンプライアンスレポートを作成してください。」
    • 「セキュリティレビューボードのセキュリティ調査結果を要約してください。」
    • 「重大度の高いすべての調査結果に対処するためのタイムラインを作成してください。」
  • 修正ガイダンス:
    • 「これらのSQLインジェクションの脆弱性に対する修正アプローチを提案してください。」
    • 「このコンテナベースイメージの脆弱性に推奨される修正は何ですか?」
    • 「次のスプリントのセキュリティパッチの優先順位付けを手伝ってください。」
    • 「これらの問題を防止するための安全なコード作成方法に関するガイダンスを提供してください。」