CVE ID 요청
- GitLab 13.4에 도입, GitLab.com의 공개 프로젝트에서만 사용 가능합니다.
CVE 식별자는 공개된 소프트웨어 취약점에 할당됩니다. GitLab은 CVE 번호 지정 기관(CNA)입니다. 공개 프로젝트의 경우 CVE 식별자(ID)를 요청할 수 있습니다.
프로젝트의 취약점에 CVE ID를 할당하면 사용자가 안전하고 정보를 얻을 수 있도록 돕습니다. 예를 들어, 의존성 스캔 도구는 프로젝트의 취약한 버전이 의존성으로 사용될 때 이를 감지할 수 있습니다.
일반적인 취약점 작업 흐름은 다음과 같습니다:
- 취약점에 대한 CVE를 요청합니다.
- 할당된 CVE 식별자를 릴리스 노트에 참조합니다.
- 수정이 릴리스된 후 취약점의 상세 내용을 게시합니다.
선행 조건
CVE ID 요청을 제출하기 위해 다음 선행 조건을 충족해야 합니다:
- 프로젝트가 GitLab.com에 호스팅되어 있어야 합니다.
- 프로젝트가 공개 상태여야 합니다.
- 프로젝트의 유지자이어야 합니다.
- 취약점의 이슈가 비밀상태여야 합니다.
CVE ID 요청 제출
CVE ID 요청을 제출하려면 다음을 수행하세요:
-
취약점 이슈로 이동하여 CVE ID 요청 생성을 선택합니다. GitLab CVE 프로젝트의 새 이슈 페이지가 열립니다.
-
제목 상자에 취약점에 대한 간단한 설명을 입력합니다.
-
설명 상자에 다음 세부 정보를 입력합니다:
- 취약점에 대한 자세한 설명
- 프로젝트의 공급업체 및 이름
- 영향을 받는 버전
- 수정된 버전
- 취약점 클래스(CWE 식별자)
- CVSS v3 벡터
GitLab은 다음에 해당하는 경우 CVE ID 요청 이슈를 업데이트합니다:
- 제출된 항목이 CVE가 할당되었을 때
- CVE가 게시되었을 때
- MITRE에게 CVE가 게시되었음을 알릴 때
- MITRE가 NVD 피드에 CVE를 추가했을 때
CVE 할당
CVE 식별자가 할당된 후 필요에 따라 참조할 수 있습니다. CVE ID 요청에 제출된 취약점 세부 내용은 귀하의 일정에 따라 게시됩니다.