GitLab 고문 데이터베이스

GitLab 고문 데이터베이스는 소프트웨어 의존성과 관련된 보안 고문에 대한 리포지터리로 사용됩니다.

이 데이터베이스는 의존성 스캔컨테이너 스캔의 중요한 컴포넌트입니다.

GitLab 고문 데이터베이스의 무료 오픈 소스 버전인 GitLab Advisory Database(오픈 소스 에디션)도 사용할 수 있지만, 업데이트에 30일의 지연이 있습니다.

표준화

우리의 고문에서는 취약점과 그 영향을 효과적으로 전달하기 위해 표준화된 방법을 채택합니다.

데이터베이스 탐색

데이터베이스 내용을 보려면 GitLab 고문 데이터베이스 홈페이지로 이동하세요. 홈페이지에서는 다음과 같은 작업을 수행할 수 있습니다:

  • 식별자, 패키지 이름, 설명으로 데이터베이스 검색
  • 최근 추가된 고문 보기
  • 커버리지 및 업데이트 빈도를 포함한 통계 정보 보기

검색

각 고문에는 다음과 같은 세부 정보가 있는 페이지가 있습니다:

  • 식별자: 공개 식별자. 예: CVE ID, GHSA ID 또는 GitLab 내부 ID (GMS-<year>-<nr>)
  • 패키지 슬러그: 슬래시로 구분된 패키지 유형 및 패키지 이름
  • 취약점: 보안 결함에 대한 간단한 설명
  • 설명: 보안 결함 및 잠재적인 위험에 대한 상세한 설명
  • 영향 받는 버전: 영향을 받는 버전
  • 해결 방법: 취약점 해결 방법
  • 최종 수정 날짜: 최종 수정된 고문의 날짜

통계

홈페이지에는 고문 분포, 취약점의 원천, 의존성 스캔 커버리지 및 취약점 해결 일정에 관한 유용한 통찰을 제공하는 통계 섹션도 있습니다.

오픈 소스 에디션

GitLab은 무료 오픈 소스 버전인 GitLab 고문 데이터베이스(오픈 소스 에디션)을 제공합니다.

오픈 소스 버전은 GitLab 고문 데이터베이스의 시간 지연된 복제본으로, MIT 라이선스가 부여되었으며 30일 이상 또는 community-sync 플래그가 있는 GitLab 고문 데이터베이스의 모든 고문을 포함합니다.

통합

note
GitLab 고문 데이터베이스 조건에 따라 GitLab 고문 데이터베이스에 포함된 데이터의 사용은 제3자 도구에 의해 금지되어 있습니다. 제3자 통합 업체는 MIT 라이선스가 부여된 시간 지연 리포지터리 복제본을 대신 사용할 수 있습니다.

데이터베이스 사용 방법

예를 들어, 데이터베이스를 지속적인 취약성 스캔의 일환으로 사용하기 위해 고문 적재 과정의 소스로서 데이터베이스 사용을 강조합니다.

flowchart TB subgraph 의존성 스캔 A[GitLab 고문 데이터베이스] end subgraph 컨테이너 스캔 C[GitLab 고문 데이터베이스 \n 오픈 소스 에디션 \n Trivy에 통합됨] end A --> B{적재} C --> B B --> |저장| D{{"클라우드 리포지터리 \n (NDJSON 형식)"}} F[\GitLab 인스턴스/] --> |데이터를 가져옴| D F --> |저장| G[(관계형 데이터베이스)]

유지보수

취약성 연구 팀은 GitLab 고문 데이터베이스 및 GitLab 고문 데이터베이스(오픈 소스 에디션)의 유지보수와 정기적인 업데이트를 담당합니다.

커뮤니티 기여는 community-sync 플래그를 통해 advisories-community에서 접근할 수 있습니다.

취약성 데이터베이스 기여

나열되지 않은 취약성에 대해 알고 있다면, GitLab 고문 데이터베이스에 기여하기 위해 문제를 오픈하거나 취약점을 제출할 수 있습니다.

자세한 정보는 기여 가이드라인을 참조하세요.

라이선스

GitLab 고문 데이터베이스는 GitLab 고문 데이터베이스 조건에 따라 자유롭게 이용할 수 있습니다.