GitLabは脆弱性管理における2つの重要な課題に対処する新機能を導入した:コードの変動性と重複報告である。コードの変動性がコードベースに頻繁に変更が加えられることで以前に解決された脆弱性が再検出されることを指すのに対し、重複報告は複数のセキュリティツールが同一の脆弱性を特定する場合に発生する。この新機能はこれらの問題に対処するために高度な追跡メカニズムを統合し、脆弱性検出と管理の精度と効率を向上させる。
GitLabのスタッフバックエンドエンジニア Julian Thome氏はブログ投稿でこの発表を要約した。動的なコードベースと異種環境での脆弱性追跡の課題を強調し、Thome氏はこの新機能がDevSecOpsを実践するチームに特に有用であると述べた。
モダンソフトウェア開発では、DevSecOpsはセキュリティを開発ライフサイクルに統合し、チームがセキュリティ標準を維持しながら迅速に機能を提供できるようにする。しかし、CI/CDパイプラインの動的な性質と複数の静的アプリケーションセキュリティテスト(SAST)ツールの使用により、2つの重大な課題が生じる。1つ目はコードの変動性で、頻繁なコードベースの変更により以前に解決された脆弱性が再検出される可能性がある。2つ目は重複報告で、複数のツールが同じ脆弱性を報告することで重複と非効率が生じる。これらの課題により開発者とセキュリティチームにとって固有の問題を特定し、効果的に修正を優先順位付けするための脆弱性管理が困難になる。
GitLabの高度な脆弱性追跡は脆弱性の特定の精度と効率を向上させることでこれらの課題に対処するように設計されている。この機能は生成されたシンタックスツリーからのコンテキスト情報を利用して脆弱性のスコープをより正確に特定する。
従来の方法は脆弱性の識別に<ファイル、行番号>のペアに依存して脆弱性を特定することが多い。この新機能は「ロケーションフィンガープリンティング」と呼ばれる手法を利用し、従来の追跡手法と比較してコード変更に伴う脆弱性が少ない識別子を生成する。
GitLabが実施した調査によると同社の高度な脆弱性追跡方法が従来の行ベースのトラッキングよりも30%効果的であることが実証された。この研究はこのアプローチのベネフィットが時間の経過とともに増加することも発見した。
私たちはRedditで集中型脆弱性管理ツールに関する興味深い会話を目にした。投稿者は技術コミュニティから集中型脆弱性管理ツールの提案を募った。投稿に対する回答にはQualsys、Tenable、Vanta、Plextracなどのツールが含まれていた。
脆弱性管理ツールの絞り込みについてRedditユーザー Beneficial_West_7821氏は洞察に満ちた回答をした。
...技術的PoVを実行し、セキュリティツール環境との実際の互換性、集約、重複排除、構成可能性、ダッシュボード化、レポート作成などに注意を払うことを強くお勧めします。
市場には非常に幅広い機能と成熟度があり、パフォーマンスも大きく異なる可能性があります(例えば取り込みと処理、UIの応答性など)。
高度な脆弱性追跡方法に関する研究成果は第47回国際ソフトウェア工学会議(ICSE)2025のソフトウェア工学実践トラックで発表される予定である。本研究のプレプリントは「A Scalable, Effective, and Simple Vulnerability Tracking Approach for Heterogeneous SAST Setups Based on Scope+Offset」、Lucas Charles氏、Jason Leasure氏、Hua Yan氏著である。
作者について
