CVE ID 요청

Tier: Free, Premium, Ultimate Offering: GitLab.com

모든 공개 프로젝트에 대해, CVE 식별자(ID)를 요청할 수 있습니다.

CVE 식별자는 공개된 소프트웨어 취약점에 할당됩니다. GitLab은 CVE 번호 지정 기관(CNA)입니다.

프로젝트의 취약점에 CVE ID를 할당하면 사용자들이 안전하고 정보를 얻을 수 있게 도와줍니다. 예를 들어, 의존성 스캐닝 도구는 프로젝트의 취약한 버전이 의존성으로 사용될 때 감지할 수 있습니다.

일반적인 취약점 처리 흐름은 다음과 같습니다:

  1. 취약점에 대해 CVE를 요청합니다.
  2. 할당된 CVE 식별자를 릴리스 노트에 기재합니다.
  3. 수정이 릴리스된 후 취약점의 세부 정보를 공개합니다.

전제 조건

CVE ID 요청을 제출하려면 다음 전제 조건을 충족해아합니다:

  • 프로젝트가 GitLab.com에 호스팅되어야 합니다.
  • 프로젝트가 공개되어야 합니다.
  • 프로젝트의 유지보수자여야 합니다.
  • 취약점이 비밀해야 합니다.

CVE ID 요청 제출

CVE ID를 요청하려면 다음 단계를 수행하세요:

  1. 취약점에 대한 이슈로 이동하고 Create CVE ID Request를 선택합니다. GitLab CVE 프로젝트의 새 이슈 페이지가 열립니다.

    CVE ID request button

  2. Title란에 취약점에 대한 간단한 설명을 입력합니다.

  3. Description란에 다음 세부 정보를 입력합니다:

    • 취약점에 대한 상세한 설명
    • 프로젝트의 공급업체 및 이름
    • 영향을 받는 버전
    • 수정된 버전
    • 취약점 클래스 (CWE 식별자)
    • CVSS v3 벡터

    New CVE ID request issue

GitLab은 다음과 같은 경우에 CVE ID 요청 이슈를 업데이트합니다:

  • 제출된 사항에 CVE가 할당될 때
  • CVE가 발행될 때
  • MITRE가 CVE가 발행되었음을 통보받을 때
  • MITRE가 NVD 피드에 CVE를 추가했을 때

CVE 할당

CVE 식별자가 할당된 후 필요한 경우 해당 식별자를 참조할 수 있습니다. CVE ID 요청에 제출된 취약점의 세부 정보는 귀하의 일정에 따라 공개됩니다.