분석

취약점 분석 및 평가.

분석은 취약점 관리 라이프사이클의 세 번째 단계입니다: 감지, 트리아지, 분석, 해결. 분석은 취약점의 세부 사항을 평가하여 수정할 수 있고 수정해야 하는지 결정하는 프로세스입니다. 취약점은 일괄적으로 트리아지할 수 있지만 분석은 개별적으로 수행해야 합니다. 위험 관리 프레임워크의 일부로서 분석은 리소스가 가장 효과적인 곳에 적용되도록 합니다. 보안 대시보드와 취약점 보고서에 포함된 데이터를 사용하여 심각도와 관련 위험에 따라 취약점 분석의 우선순위를 정합니다. 범위 # 분석 단계의 범위는 트리아지 단계를 거쳐 추가 조치가 필요한 것으로 확인된 모든 취약점입니다. 분석이 필요한 취약점을 식별하기 위해 취약점 보고서를 필터링합니다: Status : Confirmed 위험 분석 # 위험 평가 프레임워크에 따라 취약점 분석을 수행해야 합니다. 아직 위험 평가 프레임워크를 사용하지 않는 경우 다음을 고려하세요: SANS Institute Vulnerability Management Framework OWASP Threat and Safeguard Matrix (TaSM) 사용 가능한 경우 보안 분석가 에이전트 를 사용하여 취약점 분석을 가속화합니다. 에이전트는 인사이트, 위험 평가, 해결 가이드를 제공하여 보안 발견 사항을 효율적으로 트리아지, 평가, 해결합니다. 취약점의 위험 점수 계산은 조직에 특정한 기준에 따라 다릅니다. 기본 위험 점수 공식은 다음과 같습니다: 위험 = 가능성 x 영향 가능성과 영향 수치는 취약점과 환경에 따라 다릅니다. 이러한 수치를 결정하고 위험 점수를 계산하는 데 GitLab에서 사용할 수 없는 정보가 필요할 수 있습니다. 대신 위험 관리 프레임워크에 따라 이를 계산해야 합니다. 계산 후 취약점에 대해 제기한 이슈에 기록합니다. 일반적으로 취약점에 소비되는 시간과 노력은 그 위험에 비례해야 합니다. 예를 들어 치명적인 위험과 높은 위험의 취약점만 분석하고 나머지는 무시하도록 선택할 수 있습니다. 취약점에 대한 위험 임계값에 따라 이 결정을 내려야 합니다. 분석 전략 # 가장 중요한 취약점에 먼저 집중하기 위해 다음 전략을 시도합니다. 가장 높은 심각도의 취약점 우선순위 지정 # 가장 높은 심각도의 취약점을 식별하는 데 도움이 되는 방법: 아직 트리아지 단계에서 이 작업을 수행하지 않은 경우 취약점 우선순위 지정 CI/CD 컴포넌트 를 사용하여 분석을 위한 취약점 우선순위를 지정합니다. 각 그룹에 대해 취약점 보고서를 필터링하여 분석이 필요한 취약점의 우선순위를 지정합니다: Status : Confirmed Activity : Still detected Group by : Severity 가장 위험도가 높은 프로젝트(예: 고객에게 배포된 애플리케이션)의 취약점 분석에 우선순위를 둡니다. 해결책이 있는 취약점 우선순위 지정 # 일부 취약점에는 "버전 13.2에서 13.8로 업그레이드"와 같은 해결책이 있습니다. 이는 이러한 취약점을 분석하고 해결하는 데 걸리는 시간을 줄입니다. 일부 해결책은 GitLab Duo가 활성화