InfoGrab Docs

분석

요약

분석은 취약점 관리 라이프사이클의 세 번째 단계입니다: 감지, 트리아지, 분석, 해결. 분석은 취약점의 세부 사항을 평가하여 수정할 수 있고 수정해야 하는지 결정하는 프로세스입니다. 분석 단계의 범위는 트리아지 단계를 거쳐 추가 조치가 필요한 것으로 확인된 모든 취약점입니다.

분석은 취약점 관리 라이프사이클의 세 번째 단계입니다: 감지, 트리아지, 분석, 해결.

분석은 취약점의 세부 사항을 평가하여 수정할 수 있고 수정해야 하는지 결정하는 프로세스입니다. 취약점은 일괄적으로 트리아지할 수 있지만 분석은 개별적으로 수행해야 합니다. 위험 관리 프레임워크의 일부로서 분석은 리소스가 가장 효과적인 곳에 적용되도록 합니다. 보안 대시보드와 취약점 보고서에 포함된 데이터를 사용하여 심각도와 관련 위험에 따라 취약점 분석의 우선순위를 정합니다.

범위#

분석 단계의 범위는 트리아지 단계를 거쳐 추가 조치가 필요한 것으로 확인된 모든 취약점입니다.

분석이 필요한 취약점을 식별하기 위해 취약점 보고서를 필터링합니다:

  • Status: Confirmed

위험 분석#

위험 평가 프레임워크에 따라 취약점 분석을 수행해야 합니다. 아직 위험 평가 프레임워크를 사용하지 않는 경우 다음을 고려하세요:

사용 가능한 경우 보안 분석가 에이전트를 사용하여 취약점 분석을 가속화합니다. 에이전트는 인사이트, 위험 평가, 해결 가이드를 제공하여 보안 발견 사항을 효율적으로 트리아지, 평가, 해결합니다.

취약점의 위험 점수 계산은 조직에 특정한 기준에 따라 다릅니다. 기본 위험 점수 공식은 다음과 같습니다:

위험 = 가능성 x 영향

가능성과 영향 수치는 취약점과 환경에 따라 다릅니다. 이러한 수치를 결정하고 위험 점수를 계산하는 데 GitLab에서 사용할 수 없는 정보가 필요할 수 있습니다. 대신 위험 관리 프레임워크에 따라 이를 계산해야 합니다. 계산 후 취약점에 대해 제기한 이슈에 기록합니다.

일반적으로 취약점에 소비되는 시간과 노력은 그 위험에 비례해야 합니다. 예를 들어 치명적인 위험과 높은 위험의 취약점만 분석하고 나머지는 무시하도록 선택할 수 있습니다. 취약점에 대한 위험 임계값에 따라 이 결정을 내려야 합니다.

분석 전략#

가장 중요한 취약점에 먼저 집중하기 위해 다음 전략을 시도합니다.

가장 높은 심각도의 취약점 우선순위 지정#

가장 높은 심각도의 취약점을 식별하는 데 도움이 되는 방법:

  • 아직 트리아지 단계에서 이 작업을 수행하지 않은 경우 취약점 우선순위 지정 CI/CD 컴포넌트를 사용하여 분석을 위한 취약점 우선순위를 지정합니다.

  • 각 그룹에 대해 취약점 보고서를 필터링하여 분석이 필요한 취약점의 우선순위를 지정합니다:

    • Status: Confirmed
    • Activity: Still detected
    • Group by: Severity

  • 가장 위험도가 높은 프로젝트(예: 고객에게 배포된 애플리케이션)의 취약점 분석에 우선순위를 둡니다.

해결책이 있는 취약점 우선순위 지정#

일부 취약점에는 "버전 13.2에서 13.8로 업그레이드"와 같은 해결책이 있습니다. 이는 이러한 취약점을 분석하고 해결하는 데 걸리는 시간을 줄입니다. 일부 해결책은 GitLab Duo가 활성화된 경우에만 사용 가능합니다.

해결책이 있는 취약점을 식별하기 위해 취약점 보고서를 필터링합니다.

  • SBOM 스캔으로 감지된 취약점의 경우 다음 기준을 사용합니다:
    • Status: Confirmed
    • Activity: Has a solution
  • SAST로 감지된 취약점의 경우 다음 기준을 사용합니다:
    • Status: Confirmed
    • Activity: Vulnerability Resolution available

취약점 세부 정보 및 조치#

모든 취약점에는 감지 시기, 감지 방법, 심각도 등급, 전체 로그를 포함한 세부 정보가 포함된 취약점 페이지가 있습니다. 이 정보를 사용하여 취약점을 분석합니다.

다음 팁도 취약점 분석에 도움이 될 수 있습니다:

  • GitLab Duo 취약점 설명을 사용하여 취약점을 설명하고 해결 방법을 제안합니다. SAST로 감지된 취약점에만 사용 가능합니다.
  • 타사 교육 제공업체가 제공하는 보안 교육을 사용하여 특정 취약점의 특성을 이해합니다.

확인된 각 취약점을 분석한 후 다음 중 하나를 수행해야 합니다:

  • 해결해야 한다고 결정한 경우 상태를 Confirmed로 유지합니다.
  • 해결하지 않기로 결정한 경우 상태를 Dismissed로 변경합니다.

취약점을 확인하는 경우:

  1. 해결 작업을 추적, 문서화, 관리하기 위한 이슈 생성.
  2. 취약점 관리 라이프사이클의 해결 단계를 계속합니다.

취약점을 무시하는 경우 무시한 이유를 설명하는 간략한 주석을 제공해야 합니다. 무시된 취약점은 다시 감지되어도 무시됩니다. 취약점 레코드는 감사 목적으로 보관됩니다(아카이브될 때까지). 필요에 따라 상태를 업데이트하여 라이프사이클을 관리할 수 있습니다.

분석

원문 보기
요약

분석은 취약점 관리 라이프사이클의 세 번째 단계입니다: 감지, 트리아지, 분석, 해결. 분석은 취약점의 세부 사항을 평가하여 수정할 수 있고 수정해야 하는지 결정하는 프로세스입니다. 분석 단계의 범위는 트리아지 단계를 거쳐 추가 조치가 필요한 것으로 확인된 모든 취약점입니다.

분석은 취약점 관리 라이프사이클의 세 번째 단계입니다: 감지, 트리아지, 분석, 해결.

분석은 취약점의 세부 사항을 평가하여 수정할 수 있고 수정해야 하는지 결정하는 프로세스입니다. 취약점은 일괄적으로 트리아지할 수 있지만 분석은 개별적으로 수행해야 합니다. 위험 관리 프레임워크의 일부로서 분석은 리소스가 가장 효과적인 곳에 적용되도록 합니다. 보안 대시보드와 취약점 보고서에 포함된 데이터를 사용하여 심각도와 관련 위험에 따라 취약점 분석의 우선순위를 정합니다.

범위#

분석 단계의 범위는 트리아지 단계를 거쳐 추가 조치가 필요한 것으로 확인된 모든 취약점입니다.

분석이 필요한 취약점을 식별하기 위해 취약점 보고서를 필터링합니다:

  • Status: Confirmed

위험 분석#

위험 평가 프레임워크에 따라 취약점 분석을 수행해야 합니다. 아직 위험 평가 프레임워크를 사용하지 않는 경우 다음을 고려하세요:

사용 가능한 경우 보안 분석가 에이전트를 사용하여 취약점 분석을 가속화합니다. 에이전트는 인사이트, 위험 평가, 해결 가이드를 제공하여 보안 발견 사항을 효율적으로 트리아지, 평가, 해결합니다.

취약점의 위험 점수 계산은 조직에 특정한 기준에 따라 다릅니다. 기본 위험 점수 공식은 다음과 같습니다:

위험 = 가능성 x 영향

가능성과 영향 수치는 취약점과 환경에 따라 다릅니다. 이러한 수치를 결정하고 위험 점수를 계산하는 데 GitLab에서 사용할 수 없는 정보가 필요할 수 있습니다. 대신 위험 관리 프레임워크에 따라 이를 계산해야 합니다. 계산 후 취약점에 대해 제기한 이슈에 기록합니다.

일반적으로 취약점에 소비되는 시간과 노력은 그 위험에 비례해야 합니다. 예를 들어 치명적인 위험과 높은 위험의 취약점만 분석하고 나머지는 무시하도록 선택할 수 있습니다. 취약점에 대한 위험 임계값에 따라 이 결정을 내려야 합니다.

분석 전략#

가장 중요한 취약점에 먼저 집중하기 위해 다음 전략을 시도합니다.

가장 높은 심각도의 취약점 우선순위 지정#

가장 높은 심각도의 취약점을 식별하는 데 도움이 되는 방법:

  • 아직 트리아지 단계에서 이 작업을 수행하지 않은 경우 취약점 우선순위 지정 CI/CD 컴포넌트를 사용하여 분석을 위한 취약점 우선순위를 지정합니다.

  • 각 그룹에 대해 취약점 보고서를 필터링하여 분석이 필요한 취약점의 우선순위를 지정합니다:

    • Status: Confirmed
    • Activity: Still detected
    • Group by: Severity

  • 가장 위험도가 높은 프로젝트(예: 고객에게 배포된 애플리케이션)의 취약점 분석에 우선순위를 둡니다.

해결책이 있는 취약점 우선순위 지정#

일부 취약점에는 "버전 13.2에서 13.8로 업그레이드"와 같은 해결책이 있습니다. 이는 이러한 취약점을 분석하고 해결하는 데 걸리는 시간을 줄입니다. 일부 해결책은 GitLab Duo가 활성화된 경우에만 사용 가능합니다.

해결책이 있는 취약점을 식별하기 위해 취약점 보고서를 필터링합니다.

  • SBOM 스캔으로 감지된 취약점의 경우 다음 기준을 사용합니다:
    • Status: Confirmed
    • Activity: Has a solution
  • SAST로 감지된 취약점의 경우 다음 기준을 사용합니다:
    • Status: Confirmed
    • Activity: Vulnerability Resolution available

취약점 세부 정보 및 조치#

모든 취약점에는 감지 시기, 감지 방법, 심각도 등급, 전체 로그를 포함한 세부 정보가 포함된 취약점 페이지가 있습니다. 이 정보를 사용하여 취약점을 분석합니다.

다음 팁도 취약점 분석에 도움이 될 수 있습니다:

  • GitLab Duo 취약점 설명을 사용하여 취약점을 설명하고 해결 방법을 제안합니다. SAST로 감지된 취약점에만 사용 가능합니다.
  • 타사 교육 제공업체가 제공하는 보안 교육을 사용하여 특정 취약점의 특성을 이해합니다.

확인된 각 취약점을 분석한 후 다음 중 하나를 수행해야 합니다:

  • 해결해야 한다고 결정한 경우 상태를 Confirmed로 유지합니다.
  • 해결하지 않기로 결정한 경우 상태를 Dismissed로 변경합니다.

취약점을 확인하는 경우:

  1. 해결 작업을 추적, 문서화, 관리하기 위한 이슈 생성.
  2. 취약점 관리 라이프사이클의 해결 단계를 계속합니다.

취약점을 무시하는 경우 무시한 이유를 설명하는 간략한 주석을 제공해야 합니다. 무시된 취약점은 다시 감지되어도 무시됩니다. 취약점 레코드는 감사 목적으로 보관됩니다(아카이브될 때까지). 필요에 따라 상태를 업데이트하여 라이프사이클을 관리할 수 있습니다.