공통 취약성 및 노출 ID(CVE ID)는 공개적으로 공개된 소프트웨어 취약성에 할당되는 고유 식별자입니다. GitLab은 CVE 번호 부여 기관(CNA)으로, GitLab.com에 호스팅된 프로젝트의 취약성에 CVE 식별자를 할당할 수 있습니다.

공개 프로젝트의 경우 보안 이슈에 대해 사용자에게 알리기 위해 CVE 식별자를 요청할 수 있습니다. 예를 들어 GitLab 종속성 스캐닝 도구는 프로젝트가 취약한 버전의 종속성을 사용하는 경우 이를 감지할 수 있습니다.

일반적인 취약성 워크플로우는 다음과 같습니다:

• 취약성에 대한 CVE를 요청합니다.
• 릴리스 노트에서 할당된 CVE 식별자를 참조합니다.
• 수정 사항이 릴리스된 후 취약성의 세부 정보를 게시합니다.

CVE ID 요청 제출#

전제 조건:

• 프로젝트에 대한 유지 관리자 또는 소유자 역할.
• 프로젝트가 GitLab.com에 호스팅되어야 합니다.
• 프로젝트가 공개여야 합니다.
• 취약성 이슈가 기밀이어야 합니다.

CVE ID 요청을 제출하려면:

1. 취약성 이슈로 이동하여 CVE ID 요청 만들기를 선택합니다. GitLab CVE 프로젝트의 새 이슈 페이지가 열립니다.

2. 제목 상자에 취약성에 대한 간략한 설명을 입력합니다.

3. 설명 상자에 다음 세부 정보를 입력합니다:

   • 취약성에 대한 자세한 설명
   • 프로젝트의 공급업체와 이름
   • 영향을 받는 버전
   • 수정된 버전
   • 취약성 클래스(CWE 식별자)
   • CVSS v3 벡터

GitLab은 다음의 경우 CVE ID 요청 이슈를 업데이트합니다:

• 제출 내용에 CVE가 할당된 경우.
• CVE가 게시된 경우.
• MITRE에 CVE가 게시되었음을 알린 경우.
• MITRE가 NVD 피드에 CVE를 추가한 경우.

CVE 할당#

CVE 식별자가 할당된 후 필요에 따라 이를 참조할 수 있습니다. CVE ID 요청에서 제출한 취약성의 세부 정보는 사용자 일정에 따라 게시됩니다.