의존성 취약점 분석

보안 스캐너에 의해 취약하다고 표시된 Mattermost의 타사 의존성이 실제 배포에서 위험을 초래하지 않는 이유를 설명합니다.

이 문서는 보안 스캐너에 의해 취약하다고 표시된 Mattermost의 특정 타사 의존성이 Mattermost 배포에서 위험을 초래하지 않는 이유에 대한 맥락을 제공합니다. 이 분석은 새로운 취약점 보고서가 접수되고 평가됨에 따라 정기적으로 업데이트됩니다. 개요 # Mattermost는 알려진 취약점에 대해 의존성을 정기적으로 스캔합니다. 일부 의존성이 보안 스캐너에 의해 취약하다고 표시될 수 있지만, 이러한 취약점은 다음과 같은 이유로 Mattermost에 적용되지 않을 수 있습니다: * 의존성이 Mattermost에서 사용되는 방식 * 구현된 특정 버전 또는 구성 * 이미 적용된 완화 조치 * 스캔 프로세스의 오탐(False positive) 의존성 분석 표 # 아래는 최신 릴리스에서 보안 스캐너에 의해 취약하다고 표시된 의존성 목록과 각 문제가 Mattermost 배포에 관련이 없는 이유에 대한 설명입니다: 의존성 / 버전 취약점 오탐 사유 github.com/mattermost/ mattermost/server/v8 복수의 CVE ID Mattermost는 Go 모듈 워크스페이스를 사용하여 빌드 시 로컬 파일시스템 코드로 go.mod 의존성 버전을 재정의합니다. 취약한 버전은 최종 Docker 이미지에 포함되지 않습니다. golang.org/x/crypto v0.44.0 GHSA-f6x5-jh6r-wrfv CVE-2025-47914 Mattermost는 취약한 golang.org/x/crypto/ssh 패키지를 사용하지 않습니다. v11.4에서 업그레이드가 계획되어 있습니다. golang.org/x/crypto v0.44.0 GGHSA-j5w8-q4qc-rx2x CVE-2025-58181 Mattermost는 취약한 golang.org/x/crypto/ssh 패키지를 사용하지 않습니다. v11.4에서 업그레이드가 계획되어 있습니다.