脆弱性の発見から対応までのプロセス
http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=32216&forum=12&1
大体ブログとか、技術系のニュースサイトのチェック等で情報を入手します。
別にセキュリティ情報を得るのが目的ではありませんが、
単純にWEBでニュースを読む感覚で、大体毎日チェックします。以前関わっていたシステムの保守では、脆弱性についての情報が得られたときに、
1.脆弱性の確認
現行のシステムで再現するかを確認する2.対応について協議
外部には出ないシステムであるため、
外部からの攻撃に対する脆弱性であるなら、
バージョンアップによる動作の影響範囲を考慮して、
保留にすることもあった3.テスト環境での確認
バージョンアップによる影響がないかを検証したり、
脆弱性が修正されているかを検証する4.リリース
脆弱性の内容によっては、定期リリースではなく、
緊急リリースにすることもあったというように手順で対応していました。