Skip to main content

 

 

 

 
Language:
 
 
 
OutSystems

脆弱性

脆弱性に対処するプロセス

OutSystemsは、製品や生成されたコードの脆弱性を常に監視しています。現在サポートされているバージョンの脆弱性のみが分析および修正の対象となります。

OutSystemsで発見された脆弱性に対処する段階の概略を以下に示します。

これは、非公開段階情報開示の2つの段階で構成されます。

非公開段階

この段階では、ユーザーを保護するために、OutSystemsは脆弱性に関する詳細を開示しません。外部に漏れる詳細が多くなるほど、そうした情報が脆弱性を悪用するために使用される可能性が高くなるという点に留意することが重要です。そのため、OutSystemsは開示を進める前にインフラを保護するための妥当な期間を確保します。

非公開段階では、以下の手順が実行されます。

  1. 特定: OutSystemsが脆弱性を調査します。

  2. 分類: OutSystemsが脆弱性を分析し、リスクスコアと深刻度を割り当てます。これは、CVSS 3.0フレームワークのCVSSの深刻度を使用して行います。 このフレームワークによって脆弱性にリスクスコアを割り当てます。その後、リスクスコアに応じて脆弱性を情報から重大までの5つの深刻度に変換します。

  3. リスク評価: すべての脆弱性を詳細に調査し、推奨される軽減策をまとめます。軽減策は、サービスのシャットダウンからパッチのリリースまで多岐にわたります。 OutSystemsは積極的に顧客ベースと連絡を取り、深刻度が高または重大の脆弱性に対するパッチをPaaSインフラに適用します。

  4. 計画と修正: OutSystemsが修正の予定と期限を定義します。脆弱性の修正や回避策が準備され、PaaSインフラへのパッチ適用のスケジュールが設定されます。

  5. 修正リリース: 修正がインストールの詳細とともに一般に公開されます。オンプレミスインフラの場合は、ユーザーの判断でパッチを適用できます。

  6. ユーザーへの通知: 修正が公開されると同時に、OutSystemsのすべての顧客ベースに通知されます。 これには、修正手順と回避策(該当する場合)が含まれています。PaaSユーザーには、影響を受けるすべての環境に関するパッチ適用のスケジュールが通知される場合もあります。パッチが通常の操作や可用性に影響を与えない場合は、スケジュールを設定する必要はありません。 セキュリティ情報は、脆弱性ナレッジベースで公開されます。この時点では、脆弱性に関する技術的な詳細はセキュリティ情報によって開示されませんが、情報開示の日付は定義されます。

情報開示

脆弱性の詳細: 修正リリースと最初の通知から約90日後に、OutSystemsが脆弱性に関する詳細を開示します。この詳細によってセキュリティ情報が更新されます。

脆弱性をユーザーに通知する

手順6で、OutSystemsがすべての顧客ベースにメールを送信します。セキュリティ情報が公開され、メールの通知に記載されます。 情報開示が行われると、セキュリティ情報のみが更新され、メールは送信されません。

セキュリティの脆弱性に関するメールを受信する担当者

ユーザーは、[Account Settings]セクションでセキュリティ担当者を入力することによって、セキュリティ通知を誰が受信するかを制御できます。 セキュリティ担当者に加えて、以下の担当者にも通知が送信されます。

  • Was this article helpful?