GitLab 어드바이저리 데이터베이스
Offering: GitLab.com, GitLab Self-Managed
GitLab 어드바이저리 데이터베이스는 소프트웨어 종속성과 관련된 보안 어드바이저리의 저장소 역할을 합니다. 데이터베이스는 종속성 스캐닝과 컨테이너 스캐닝 모두의 필수 구성 요소입니다. GitLab 어드바이저리 데이터베이스의 무료 오픈 소스 버전도 GitLab 어드바이저리 데이터베이스(오픈 소스 에디션)으로 사용 가능합니다.
GitLab 어드바이저리 데이터베이스는 소프트웨어 종속성과 관련된 보안 어드바이저리의 저장소 역할을 합니다. 최신 보안 어드바이저리로 매시간 업데이트됩니다.
데이터베이스는 종속성 스캐닝과 컨테이너 스캐닝 모두의 필수 구성 요소입니다.
GitLab 어드바이저리 데이터베이스의 무료 오픈 소스 버전도 GitLab 어드바이저리 데이터베이스(오픈 소스 에디션)으로 사용 가능합니다. 오픈 소스 에디션은 동일한 업데이트를 받지만 30일의 지연이 있습니다.
표준화#
GitLab 어드바이저리는 취약점과 그 영향을 전달하기 위해 표준화된 방법을 사용합니다.
데이터베이스 탐색#
데이터베이스 콘텐츠를 보려면 GitLab 어드바이저리 데이터베이스 홈 페이지로 이동합니다. 홈 페이지에서 다음을 수행할 수 있습니다:
- 식별자, 패키지 이름 및 설명으로 데이터베이스를 검색합니다.
- 최근에 추가된 어드바이저리를 봅니다.
- 커버리지 및 업데이트 빈도를 포함한 통계 정보를 봅니다.
검색#
각 어드바이저리에는 다음 세부 사항이 있는 페이지가 있습니다:
- Identifiers: 공개 식별자. 예: CVE ID, GHSA ID 또는 GitLab 내부 ID(
GMS-<year>-<nr>). - Package Slug: 슬래시로 구분된 패키지 유형 및 패키지 이름.
- Vulnerability: 보안 결함에 대한 짧은 설명.
- Description: 보안 결함 및 잠재적 위험에 대한 자세한 설명.
- Affected Versions: 영향을 받는 버전.
- Solution: 취약점을 수정하는 방법.
- Last Modified: 어드바이저리가 마지막으로 수정된 날짜.
GraphQL API#
히스토리
- GitLab 18.11에서
pm_advisory_graphql이라는 기능 플래그와 함께 도입. 기본적으로 비활성화됨. 이 기능은 실험입니다.
이 기능의 가용성은 기능 플래그로 제어됩니다. 자세한 내용은 기록을 참조하세요. 이 기능은 테스트용으로 제공되며 프로덕션 사용에는 준비되지 않았습니다.
다음 GraphQL 엔드포인트를 사용하여 식별자로 개별 또는 여러 어드바이저리를 조회합니다:
예시#
단일 어드바이저리#
식별자로 단일 어드바이저리를 조회하려면:
{
packageMetadataAdvisory(identifier: "CVE-2026-34598") {
id,
title,
description,
publishedDate
identifiers {
name
url
}
}
}
여러 어드바이저리#
식별자로 여러 어드바이저리를 조회하려면:
{
packageMetadataAdvisories(identifiers: ["CVE-2026-34598", "CVE-2026-34601"]) {
nodes {
id
title
description
publishedDate
identifiers {
name
url
}
}
}
}
오픈 소스 에디션#
GitLab은 데이터베이스의 무료 오픈 소스 버전인 GitLab 어드바이저리 데이터베이스(오픈 소스 에디션)을 제공합니다.
오픈 소스 버전은 GitLab 어드바이저리 데이터베이스의 시간 지연 클론으로 MIT 라이선스이며 30일이 지났거나 community-sync 플래그가 있는 GitLab 어드바이저리 데이터베이스의 모든 어드바이저리를 포함합니다.
통합#
GitLab 어드바이저리 데이터베이스 약관은 서드파티 도구가 GitLab 어드바이저리 데이터베이스에 포함된 데이터를 사용하는 것을 금지합니다. 서드파티 통합업체는 MIT 라이선스의 시간 지연 저장소 클론을 대신 사용할 수 있습니다.
데이터베이스 사용 방법#
다음 예는 지속적인 취약점 스캔의 일환으로 어드바이저리 수집 프로세스의 소스로 데이터베이스를 사용합니다.
소스 코드 보기
%%{init: { "fontFamily": "GitLab Sans" }}%%
flowchart TB
accTitle: Advisory ingestion process
accDescr: Sequence of actions that make up the advisory ingestion process.
subgraph Dependency scanning
A[GitLab advisory database]
end
subgraph Container scanning
C[GitLab advisory database
open source edition
integrated into Trivy]
end
A --> B{Ingest}
C --> B
B --> |store| D{{"Cloud storage
(NDJSON format)"}}
F[\GitLab Instance/] --> |pulls data| D
F --> |stores| G[(Relational database)]</code></pre></details></div>
유지 관리#
취약점 연구 팀은 GitLab 어드바이저리 데이터베이스와 GitLab 어드바이저리 데이터베이스(오픈 소스 에디션)의 유지 관리 및 정기 업데이트를 담당합니다.
커뮤니티 기여는 community-sync 플래그를 통해 advisories-community에서 접근 가능합니다.
취약점 데이터베이스에 기여#
나열되지 않은 취약점에 대해 알고 있다면 이슈를 열거나 취약점을 제출하여 GitLab 어드바이저리 데이터베이스에 기여할 수 있습니다.
자세한 내용은 기여 가이드라인을 참조하세요.
라이선스#
GitLab 어드바이저리 데이터베이스는 GitLab 어드바이저리 데이터베이스 약관에 따라 무료로 액세스할 수 있습니다.