技術情報

2025.5月実装予定:脆弱性レポートデータ保存ポリシー変更(Vulnerability Report)

12か月前ポリシー変更予定情報が公開されました。
GitLabバージョン18.0(2025/5月リリース予定)で実装予定となりますのでVulnerability Reportを利用または利用予定のお客様は運用計画のご参考ください。

2024/5月現在、該当機能 Vulnerability Report は、Ultimate Tierで提供されています。

以下 GitLab Notice of 12-month Vulnerability Retention Policy 翻訳および原文を掲載します。
///////////////////////////////////////////////////////////////
(翻訳)
GitLabは、脆弱性レポートに表示される脆弱性レコードに新しい脆弱性保持ポリシーを導入する予定です。組織レベルでの脆弱性レポートと依存関係リストのサポートや、デフォルトのブランチ以外の場所で脆弱性を追跡する機能の追加など、より多くの機能を構築し続ける中で、私たちは有用で意味のあるデータのみの保存を保証し、そのデータで私たちのサービスが最適なパフォーマンスを維持できるようにしたいと考えています。

私たちの調査によると、47%もの脆弱性記録が1年以上更新されておらず、より最新のスキャンが提供するような関連性や有用性があるとは考えにくいことが分かっています。

このことから、GitLabは脆弱性記録のデフォルトの保存期間を12ヶ月とし、その後は自動的にアーカイブされるようにする予定です。この情報は、GitLab.comから機械可読の 「json 」形式の文書として、アーカイブ後3年間は取り出すことができ、その後は永久に削除されます。

後日、保存期間をユーザーがある程度カスタマイズできるようにしたり、アーカイブしたデータの保存期間を延長するオプションを追加料金で選択できるようにする予定です。

私たちは、2025年5月の18.0でこの保持ポリシーを実装する予定です。実施開始時期が近づきましたら、実施計画と進捗状況をお知らせするため、改めてお知らせをお送りいたします。

この保持ポリシーが適用されない項目は以下の通りです:

検出されたまま放置されている脆弱性
検出された(トリアージが必要な)脆弱性
解決されていない、手動で作成された脆弱性

ご不明な点やご意見がございましたら、お気軽に弊社までご連絡いただくか、 フィードバック・イシューにコメントをお寄せください。
よろしくお願いします。
GitLab チーム

—————————————————————-
(原文)
GitLab intends to introduce a new Vulnerability Retention Policy on Vulnerability records that appear in the Vulnerability Report. As we continue to build more features like adding support for the Vulnerability Report and Dependency List(※1)at the Organization Level and the ability to track Vulnerabilities in locations other than the default branch(※2) we want to assure storage of only useful, meaningful data and allow our service to maintain optimal performance with that data.
※1 https://gitlab.com/groups/gitlab-org/-/epics/10048
※2 https://gitlab.com/groups/gitlab-org/-/epics/3430

Our research shows that as much as 47% of vulnerability records have not been updated in over a year and are unlikely to be as relevant or useful as more up-to-date scans may provide.

Given this, GitLab intends to implement a default retention period of 12 months for vulnerability records, after which they will be automatically archived. This information will be retrievable from GitLab.com in the form of a machine readable “json” format document for 3 years following archival, after which it will be permanently deleted.

Later iterations may include the ability for users to customize the retention period to a degree and opt for extended storage of archived data at an additional cost which will be communicated at a later stage.

We are planning to implement the retention policy in 18.0, May 2025. Another notification will be sent out closer to the implementation beginning to keep you informed of our implementation plans and progress.

Items which will not be applicable for this retention policy are as follows:

Dismissed vulnerabilities that are still detected
Detected (Needs Triage) vulnerabilities
Manually-created vulnerabilities that are not resolved
If you have any concerns or comments, please feel free to reach out to us, or comment publicly on the feedback issue.

Kind regards,

The GitLab Team
///////////////////////////////////////////////////////////////


弊社パートナー様はNetworld Dev Portal アカウント(無料)登録いただくと、GitLabパートナー制度や DevSecOps関連提案資料などのパートナー限定コンテンツがご覧いただけます。

DevSecOps全般、GitLab製品または本サイトについては以下よりお問い合わせ下さい。

関連記事