HOME
GitLab認定 Certified Security Specialist

「GitLab認定 Certified Security Specialist」の記事一覧

依存関係スキャンが「Python」プロジェクトを解析する際に、 requirements.txt ではなく poetry.lock 等を推奨する最大の理由は何か。

requirements.txt ではバージョンが未指定の場合があり、スキャン時と実際の実行時のライブラリが異なるリ…

2026年3月10日

SASTの実行結果 JSON レポートにおいて、各脆弱性の「location」プロパティに含まれる「class」や「method」の情報は何のために使用されるか。

ファイル名と行数に加え、クラス名やメソッド名を提供することで、開発者はコードの文脈をより早く理解で…

2026年3月10日

「カバレッジガイド型ファズテスト」で、テスト対象の関数の入力を定義するために使用する「Fuzz Target」コードの役割はどれか。

ファズターゲットは、スキャナーが生成したランダムなバイト列を引数として受け取り、テスト対象に渡す役…

2026年3月10日

GitLabの「Security Dashboard」において、深刻度の高い脆弱性が長期間放置されているプロジェクトを特定するための最も効率的なビューはどれか。

ダッシュボードの強力なフィルタリング機能を使うことで、対応が必要な高リスクな問題を瞬時に抽出できる。

2026年3月10日

セキュリティポリシーの「スキャン結果ポリシー」において、承認が必要な脆弱性の「年齢（Age）」を指定する目的は何か。

発見直後の猶予期間を設けつつ、放置された脆弱性に対してマージを制限する運用が可能になる。

2026年3月10日

GitLabの「監査イベント」が保持される標準的な期間はどれか（セルフマネージド版のデフォルト）。

セルフマネージド版ではデータベースに保存され、管理者がクリーンアップ設定を行うまで保持される。

2026年3月10日

DASTで「APIスキャン」を実行する際、スキャナーが特定のエンドポイントに対して送信する「HTTPメソッド」をどのように認識するか。

仕様書に記載された定義（GET, POST, DELETE等）に従って、適切なリクエストが自動的に生成される。

2026年3月10日

脆弱性の「トリアージ」が完了し、修正が不要と判断された場合にステータスを「Dismissed」にする際、推奨される「Dismissal Reason」はどれか。

適切な理由を選択することで、後の監査やレポートにおいてなぜそのリスクを許容したのかを明確に説明でき…

2026年3月10日

依存関係スキャンが「JavaScript / npm」プロジェクトを解析する際に、 package.json だけでなく package-lock.json が推奨される理由は何か。

lockファイルには依存ライブラリの正確なツリーが含まれるため、脆弱性判定の精度が劇的に向上する。

2026年3月10日

GitLab Ultimateで提供される「継続的脆弱性スキャン（CVS）」が対象とするイメージはどれか。

アクティブに利用されているイメージを対象に、新しい脆弱性情報が発表されるたびに自動で再チェックを行…

2026年3月10日