취약점 심각도 수준

분류, 영향, 우선순위 지정 및 위험 평가.

GitLab 취약점 애널라이저는 가능하면 취약점 심각도 수준 값을 반환하려고 합니다. 다음은 가장 심각한 것부터 덜 심각한 순서로 나열한 사용 가능한 GitLab 취약점 심각도 수준 목록입니다: Critical (치명적) High (높음) Medium (중간) Low (낮음) Info (정보) Unknown (알 수 없음) GitLab 애널라이저는 아래 심각도 설명에 맞추려고 노력하지만, 항상 정확하지 않을 수 있습니다. 타사 공급업체가 제공하는 애널라이저 및 스캐너는 동일한 분류를 따르지 않을 수 있습니다. 치명적(Critical) 심각도 # 치명적 심각도 수준에서 식별된 취약점은 즉시 조사해야 합니다. 이 수준의 취약점은 결함의 악용이 전체 시스템 또는 데이터 손상으로 이어질 수 있다고 가정합니다. 치명적 심각도 결함의 예로는 명령/코드 인젝션 및 SQL 인젝션이 있습니다. 일반적으로 이러한 결함은 CVSS 3.1 점수 9.0-10.0으로 평가됩니다. 높음(High) 심각도 # 높은 심각도 취약점은 공격자가 애플리케이션 리소스에 접근하거나 데이터가 의도치 않게 노출될 수 있는 결함으로 특징지을 수 있습니다. 높은 심각도 결함의 예로는 외부 XML 엔티티 인젝션(XXE), 서버 측 요청 위조(SSRF), 로컬 파일 포함/경로 탐색 및 특정 형태의 크로스 사이트 스크립팅(XSS)이 있습니다. 일반적으로 이러한 결함은 CVSS 3.1 점수 7.0-8.9로 평가됩니다. 중간(Medium) 심각도 # 중간 심각도 취약점은 보통 시스템 잘못된 구성이나 보안 제어 부족에서 발생합니다. 이러한 취약점을 악용하면 제한된 양의 데이터에 접근하거나 시스템이나 리소스에 의도치 않게 접근하기 위해 다른 결함과 함께 사용될 수 있습니다. 중간 심각도 결함의 예로는 반사형 XSS, 잘못된 HTTP 세션 처리 및 누락된 보안 제어가 있습니다. 일반적으로 이러한 결함은 CVSS 3.1 점수 4.0-6.9로 평가됩니다. 낮음(Low) 심각도 # 낮은 심각도 취약점은 직접 악용되지 않을 수 있지만 애플리케이션이나 시스템에 불필요한 약점을 도입하는 결함을 포함합니다. 이러한 결함은 보통 누락된 보안 제어 또는 애플리케이션 환경에 대한 불필요한 정보 노출로 인해 발생합니다. 낮은 심각도 취약점의 예로는 누락된 쿠키 보안 지시자, 상세한 오류 또는 예외 메시지가 있습니다. 일반적으로 이러한 결함은 CVSS 3.1 점수 0.1-3.9로 평가됩니다. 정보(Info) 심각도 # 정보 수준 심각도 취약점은 가치가 있을 수 있는 정보를 포함하지만 특정 결함이나 약점과 반드시 연관되지는 않습니다. 일반적으로 이러한 이슈에는 CVSS 평가가 없습니다. 알 수 없음(Unknown) 심각도 # 이 수준에서 식별된 이슈는 심각도를 명확하게 나타내기에 충분한 컨텍스트가 없습니다. GitLab 취약점 애널라이저에는 인기 있는 오픈 소스 스캔 도구가 포함되어 있습니다. 각 오픈 소스 스캔 도구는 자체 기본 취약점 심각도 수준 값을 제공합니다. 이러한 값은 다음 중 하나일 수 있습니다: 기본 취약