InfoGrab Docs

취약점 심각도 수준

요약

GitLab 취약점 애널라이저는 가능하면 취약점 심각도 수준 값을 반환하려고 합니다. GitLab 애널라이저는 아래 심각도 설명에 맞추려고 노력하지만, 항상 정확하지 않을 수 있습니다. 치명적 심각도 수준에서 식별된 취약점은 즉시 조사해야 합니다.

GitLab 취약점 애널라이저는 가능하면 취약점 심각도 수준 값을 반환하려고 합니다. 다음은 가장 심각한 것부터 덜 심각한 순서로 나열한 사용 가능한 GitLab 취약점 심각도 수준 목록입니다:

  • Critical (치명적)
  • High (높음)
  • Medium (중간)
  • Low (낮음)
  • Info (정보)
  • Unknown (알 수 없음)

GitLab 애널라이저는 아래 심각도 설명에 맞추려고 노력하지만, 항상 정확하지 않을 수 있습니다. 타사 공급업체가 제공하는 애널라이저 및 스캐너는 동일한 분류를 따르지 않을 수 있습니다.

치명적(Critical) 심각도#

치명적 심각도 수준에서 식별된 취약점은 즉시 조사해야 합니다. 이 수준의 취약점은 결함의 악용이 전체 시스템 또는 데이터 손상으로 이어질 수 있다고 가정합니다. 치명적 심각도 결함의 예로는 명령/코드 인젝션 및 SQL 인젝션이 있습니다. 일반적으로 이러한 결함은 CVSS 3.1 점수 9.0-10.0으로 평가됩니다.

높음(High) 심각도#

높은 심각도 취약점은 공격자가 애플리케이션 리소스에 접근하거나 데이터가 의도치 않게 노출될 수 있는 결함으로 특징지을 수 있습니다. 높은 심각도 결함의 예로는 외부 XML 엔티티 인젝션(XXE), 서버 측 요청 위조(SSRF), 로컬 파일 포함/경로 탐색 및 특정 형태의 크로스 사이트 스크립팅(XSS)이 있습니다. 일반적으로 이러한 결함은 CVSS 3.1 점수 7.0-8.9로 평가됩니다.

중간(Medium) 심각도#

중간 심각도 취약점은 보통 시스템 잘못된 구성이나 보안 제어 부족에서 발생합니다. 이러한 취약점을 악용하면 제한된 양의 데이터에 접근하거나 시스템이나 리소스에 의도치 않게 접근하기 위해 다른 결함과 함께 사용될 수 있습니다. 중간 심각도 결함의 예로는 반사형 XSS, 잘못된 HTTP 세션 처리 및 누락된 보안 제어가 있습니다. 일반적으로 이러한 결함은 CVSS 3.1 점수 4.0-6.9로 평가됩니다.

낮음(Low) 심각도#

낮은 심각도 취약점은 직접 악용되지 않을 수 있지만 애플리케이션이나 시스템에 불필요한 약점을 도입하는 결함을 포함합니다. 이러한 결함은 보통 누락된 보안 제어 또는 애플리케이션 환경에 대한 불필요한 정보 노출로 인해 발생합니다. 낮은 심각도 취약점의 예로는 누락된 쿠키 보안 지시자, 상세한 오류 또는 예외 메시지가 있습니다. 일반적으로 이러한 결함은 CVSS 3.1 점수 0.1-3.9로 평가됩니다.

정보(Info) 심각도#

정보 수준 심각도 취약점은 가치가 있을 수 있는 정보를 포함하지만 특정 결함이나 약점과 반드시 연관되지는 않습니다. 일반적으로 이러한 이슈에는 CVSS 평가가 없습니다.

알 수 없음(Unknown) 심각도#

이 수준에서 식별된 이슈는 심각도를 명확하게 나타내기에 충분한 컨텍스트가 없습니다.

GitLab 취약점 애널라이저에는 인기 있는 오픈 소스 스캔 도구가 포함되어 있습니다. 각 오픈 소스 스캔 도구는 자체 기본 취약점 심각도 수준 값을 제공합니다. 이러한 값은 다음 중 하나일 수 있습니다:

기본 취약점 심각도 수준 유형 예시
문자열 WARNING, ERROR, Critical, Negligible
정수 1, 2, 5
CVSS v2.0 등급 (AV:N/AC:L/Au:S/C:P/I:P/A:N)
CVSS v3.1 정성적 심각도 등급 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

일관된 취약점 심각도 수준 값을 제공하기 위해 GitLab 취약점 애널라이저는 이전 값을 다음 표에 설명된 표준화된 GitLab 취약점 심각도 수준으로 변환합니다:

컨테이너 스캔#

GitLab 애널라이저 심각도 수준 출력 여부 기본 심각도 수준 유형 기본 심각도 수준 예시
container-scanning 문자열 Unknown, Low, Medium, High, Critical

사용 가능한 경우 공급업체 심각도 수준이 우선하며 애널라이저에서 사용됩니다. 사용할 수 없는 경우 CVSS v3.1 등급으로 대체됩니다. 그것도 사용할 수 없으면 CVSS v2.0 등급이 대신 사용됩니다. 이 구현에 대한 세부 정보는 Trivy 이슈 310에서 확인할 수 있습니다.

동적 애플리케이션 보안 테스팅(DAST)#

GitLab 애널라이저 심각도 수준 출력 여부 기본 심각도 수준 유형 기본 심각도 수준 예시
브라우저 기반 DAST 문자열 HIGH, MEDIUM, LOW, INFO

API 보안 테스팅#

GitLab 애널라이저 심각도 수준 출력 여부 기본 심각도 수준 유형 기본 심각도 수준 예시
API 보안 테스팅 문자열 HIGH, MEDIUM, LOW

의존성 스캔#

GitLab 애널라이저 심각도 수준 출력 여부 기본 심각도 수준 유형 기본 심각도 수준 예시
gemnasium CVSS v2.0 등급 및 CVSS v3.1 정성적 심각도 등급 1 (AV:N/AC:L/Au:S/C:P/I:P/A:N), CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

CVSS v3.1 등급이 심각도 수준 계산에 사용됩니다. 사용할 수 없는 경우 CVSS v2.0 등급이 대신 사용됩니다.

퍼즈 테스팅#

모든 퍼즈 테스팅 결과는 알 수 없는 심각도로 보고됩니다. 수정 우선순위를 지정하기 위해 악용 가능한 결함을 찾아 수동으로 검토하고 분류해야 합니다.

정적 애플리케이션 보안 테스팅(SAST)#

GitLab 애널라이저 심각도 수준 출력 여부 기본 심각도 수준 유형 기본 심각도 수준 예시
kubesec 문자열 CriticalSeverity, InfoSeverity
pmd-apex 정수 1, 2, 3, 4, 5
semgrep 문자열 error, warning, note, none
sobelow 해당 없음 모든 심각도 수준을 Unknown으로 하드코딩
SpotBugs 정수 1, 2, 3, 11, 12, 18

코드로서의 인프라(IaC) 스캔#

GitLab 애널라이저 심각도 수준 출력 여부 기본 심각도 수준 유형 기본 심각도 수준 예시
kics 문자열 error, warning, note, none (애널라이저 버전 3.7.0 이상에서 info로 매핑됨)

KICS(Keeping Infrastructure as Code Secure) 심각도 매핑#

KICS 애널라이저는 출력을 Static Analysis Results Interchange Format(SARIF) 심각도에 매핑하고, 이는 다시 GitLab 심각도에 매핑됩니다. 아래 표를 사용하여 GitLab 취약점 보고서에서 해당 심각도를 확인하세요.

KICS 심각도 KICS SARIF 심각도 GitLab 심각도
CRITICAL error Critical
HIGH error Critical
MEDIUM warning Medium
LOW note Info
INFO none Info
invalid none Info

KICS와 GitLab 모두 높은 심각도를 정의하지만, SARIF는 그렇지 않으므로 KICS의 높은 심각도 취약점은 GitLab에서 치명적 심각도로 매핑됩니다.

GitLab 매핑 소스 코드.

시크릿 감지#

GitLab secrets 애널라이저는 모든 심각도 수준을 치명적으로 하드코딩합니다. 더 세분화된 심각도 등급은 에픽 10320에서 제안되어 있습니다.

취약점 심각도 수준

Tier: Ultimate
Offering: GitLab.com, GitLab Self-Managed, GitLab Dedicated
원문 보기
요약

GitLab 취약점 애널라이저는 가능하면 취약점 심각도 수준 값을 반환하려고 합니다. GitLab 애널라이저는 아래 심각도 설명에 맞추려고 노력하지만, 항상 정확하지 않을 수 있습니다. 치명적 심각도 수준에서 식별된 취약점은 즉시 조사해야 합니다.

GitLab 취약점 애널라이저는 가능하면 취약점 심각도 수준 값을 반환하려고 합니다. 다음은 가장 심각한 것부터 덜 심각한 순서로 나열한 사용 가능한 GitLab 취약점 심각도 수준 목록입니다:

  • Critical (치명적)
  • High (높음)
  • Medium (중간)
  • Low (낮음)
  • Info (정보)
  • Unknown (알 수 없음)

GitLab 애널라이저는 아래 심각도 설명에 맞추려고 노력하지만, 항상 정확하지 않을 수 있습니다. 타사 공급업체가 제공하는 애널라이저 및 스캐너는 동일한 분류를 따르지 않을 수 있습니다.

치명적(Critical) 심각도#

치명적 심각도 수준에서 식별된 취약점은 즉시 조사해야 합니다. 이 수준의 취약점은 결함의 악용이 전체 시스템 또는 데이터 손상으로 이어질 수 있다고 가정합니다. 치명적 심각도 결함의 예로는 명령/코드 인젝션 및 SQL 인젝션이 있습니다. 일반적으로 이러한 결함은 CVSS 3.1 점수 9.0-10.0으로 평가됩니다.

높음(High) 심각도#

높은 심각도 취약점은 공격자가 애플리케이션 리소스에 접근하거나 데이터가 의도치 않게 노출될 수 있는 결함으로 특징지을 수 있습니다. 높은 심각도 결함의 예로는 외부 XML 엔티티 인젝션(XXE), 서버 측 요청 위조(SSRF), 로컬 파일 포함/경로 탐색 및 특정 형태의 크로스 사이트 스크립팅(XSS)이 있습니다. 일반적으로 이러한 결함은 CVSS 3.1 점수 7.0-8.9로 평가됩니다.

중간(Medium) 심각도#

중간 심각도 취약점은 보통 시스템 잘못된 구성이나 보안 제어 부족에서 발생합니다. 이러한 취약점을 악용하면 제한된 양의 데이터에 접근하거나 시스템이나 리소스에 의도치 않게 접근하기 위해 다른 결함과 함께 사용될 수 있습니다. 중간 심각도 결함의 예로는 반사형 XSS, 잘못된 HTTP 세션 처리 및 누락된 보안 제어가 있습니다. 일반적으로 이러한 결함은 CVSS 3.1 점수 4.0-6.9로 평가됩니다.

낮음(Low) 심각도#

낮은 심각도 취약점은 직접 악용되지 않을 수 있지만 애플리케이션이나 시스템에 불필요한 약점을 도입하는 결함을 포함합니다. 이러한 결함은 보통 누락된 보안 제어 또는 애플리케이션 환경에 대한 불필요한 정보 노출로 인해 발생합니다. 낮은 심각도 취약점의 예로는 누락된 쿠키 보안 지시자, 상세한 오류 또는 예외 메시지가 있습니다. 일반적으로 이러한 결함은 CVSS 3.1 점수 0.1-3.9로 평가됩니다.

정보(Info) 심각도#

정보 수준 심각도 취약점은 가치가 있을 수 있는 정보를 포함하지만 특정 결함이나 약점과 반드시 연관되지는 않습니다. 일반적으로 이러한 이슈에는 CVSS 평가가 없습니다.

알 수 없음(Unknown) 심각도#

이 수준에서 식별된 이슈는 심각도를 명확하게 나타내기에 충분한 컨텍스트가 없습니다.

GitLab 취약점 애널라이저에는 인기 있는 오픈 소스 스캔 도구가 포함되어 있습니다. 각 오픈 소스 스캔 도구는 자체 기본 취약점 심각도 수준 값을 제공합니다. 이러한 값은 다음 중 하나일 수 있습니다:

기본 취약점 심각도 수준 유형 예시
문자열 WARNING, ERROR, Critical, Negligible
정수 1, 2, 5
CVSS v2.0 등급 (AV:N/AC:L/Au:S/C:P/I:P/A:N)
CVSS v3.1 정성적 심각도 등급 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

일관된 취약점 심각도 수준 값을 제공하기 위해 GitLab 취약점 애널라이저는 이전 값을 다음 표에 설명된 표준화된 GitLab 취약점 심각도 수준으로 변환합니다:

컨테이너 스캔#

GitLab 애널라이저 심각도 수준 출력 여부 기본 심각도 수준 유형 기본 심각도 수준 예시
container-scanning 문자열 Unknown, Low, Medium, High, Critical

사용 가능한 경우 공급업체 심각도 수준이 우선하며 애널라이저에서 사용됩니다. 사용할 수 없는 경우 CVSS v3.1 등급으로 대체됩니다. 그것도 사용할 수 없으면 CVSS v2.0 등급이 대신 사용됩니다. 이 구현에 대한 세부 정보는 Trivy 이슈 310에서 확인할 수 있습니다.

동적 애플리케이션 보안 테스팅(DAST)#

GitLab 애널라이저 심각도 수준 출력 여부 기본 심각도 수준 유형 기본 심각도 수준 예시
브라우저 기반 DAST 문자열 HIGH, MEDIUM, LOW, INFO

API 보안 테스팅#

GitLab 애널라이저 심각도 수준 출력 여부 기본 심각도 수준 유형 기본 심각도 수준 예시
API 보안 테스팅 문자열 HIGH, MEDIUM, LOW

의존성 스캔#

GitLab 애널라이저 심각도 수준 출력 여부 기본 심각도 수준 유형 기본 심각도 수준 예시
gemnasium CVSS v2.0 등급 및 CVSS v3.1 정성적 심각도 등급 1 (AV:N/AC:L/Au:S/C:P/I:P/A:N), CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

CVSS v3.1 등급이 심각도 수준 계산에 사용됩니다. 사용할 수 없는 경우 CVSS v2.0 등급이 대신 사용됩니다.

퍼즈 테스팅#

모든 퍼즈 테스팅 결과는 알 수 없는 심각도로 보고됩니다. 수정 우선순위를 지정하기 위해 악용 가능한 결함을 찾아 수동으로 검토하고 분류해야 합니다.

정적 애플리케이션 보안 테스팅(SAST)#

GitLab 애널라이저 심각도 수준 출력 여부 기본 심각도 수준 유형 기본 심각도 수준 예시
kubesec 문자열 CriticalSeverity, InfoSeverity
pmd-apex 정수 1, 2, 3, 4, 5
semgrep 문자열 error, warning, note, none
sobelow 해당 없음 모든 심각도 수준을 Unknown으로 하드코딩
SpotBugs 정수 1, 2, 3, 11, 12, 18

코드로서의 인프라(IaC) 스캔#

GitLab 애널라이저 심각도 수준 출력 여부 기본 심각도 수준 유형 기본 심각도 수준 예시
kics 문자열 error, warning, note, none (애널라이저 버전 3.7.0 이상에서 info로 매핑됨)

KICS(Keeping Infrastructure as Code Secure) 심각도 매핑#

KICS 애널라이저는 출력을 Static Analysis Results Interchange Format(SARIF) 심각도에 매핑하고, 이는 다시 GitLab 심각도에 매핑됩니다. 아래 표를 사용하여 GitLab 취약점 보고서에서 해당 심각도를 확인하세요.

KICS 심각도 KICS SARIF 심각도 GitLab 심각도
CRITICAL error Critical
HIGH error Critical
MEDIUM warning Medium
LOW note Info
INFO none Info
invalid none Info

KICS와 GitLab 모두 높은 심각도를 정의하지만, SARIF는 그렇지 않으므로 KICS의 높은 심각도 취약점은 GitLab에서 치명적 심각도로 매핑됩니다.

GitLab 매핑 소스 코드.

시크릿 감지#

GitLab secrets 애널라이저는 모든 심각도 수준을 치명적으로 하드코딩합니다. 더 세분화된 심각도 등급은 에픽 10320에서 제안되어 있습니다.