修復
お客様のセキュリティー・チームは、リスクの判別と脆弱性の優先順位付けを行った後、修復プロセスを開始できます。
基本的な修復ワークフロー:
- セキュリティー・マネージャーは、修復の優先順位を設定し、修復タスクを開発チームに割り当てます。悪用の可能性が最小限の場合、セキュリティー・マネージャーは、ある程度のリスクを受け入れ、一部の脆弱性を修復対象に割り当てないと判断する場合があります。環境によっては、設定された一定期間に状態をモニターするのが最善の方法になることがあります。
- 開発者が、高優先度の脆弱性を修正します。
- QA エンジニアは、アプリケーションの新規バージョンに対して適切なテストを実行し、修復が成功したことを確認したら、データをセキュリティー・マネージャーに転送します。
セキュリティー・マネージャーが障害の修正以外にも実施できるその他のアクションは、以下のとおりです。
- セキュアなコーディング技法について開発者をトレーニングする。
- 問題に対処するコード・ライブラリーを提供する。
- 開発ライフサイクルの早期に障害を検出するためのテスト計画とスクリプトを作成する。
- アプリケーション仕様のソース・コーディングに対するベスト・プラクティスを設定する。