CVE ID 요청

Tier: Free, Premium, Ultimate Offering: GitLab.com

모든 공개 프로젝트에 대해서 CVE 식별자(ID)를 요청할 수 있습니다.

CVE 식별자는 공개된 소프트웨어 취약점에 할당됩니다. GitLab은 CVE 번호 지정 권한 (CNA)입니다.

프로젝트의 취약점에 CVE ID를 할당하면 사용자들이 안전하고 정보를 얻을 수 있습니다. 예를 들어, 의존성 스캔 도구는 프로젝트의 취약 버전이 의존성으로 사용될 때 감지할 수 있습니다.

일반적인 취약점 워크플로는 다음과 같습니다:

  1. 취약점의 CVE를 요청합니다.
  2. 배포 노트에서 할당된 CVE 식별자를 참조합니다.
  3. 수정이 배포되고 나서 취약점의 세부 정보를 게시합니다.

준비 사항

CVE ID 요청을 제출하기 위해 다음의 준비 사항을 충족해아 합니다:

  • 프로젝트가 GitLab.com에 호스팅됩니다.
  • 프로젝트가 공개 상태입니다.
  • 프로젝트의 유지자입니다.
  • 취약점이 기밀적인 이슈입니다.

CVE ID 요청 제출

CVE ID를 요청하려면 다음을 수행합니다:

  1. 취약점 이슈로 이동하여 CVE ID 요청 생성을 선택합니다. GitLab CVE 프로젝트의 새 이슈 페이지가 엽니다.

    CVE ID 요청 버튼

  2. 제목 상자에 취약점에 대한 간단한 설명을 입력합니다.

  3. 설명 상자에 다음과 같은 세부 정보를 입력합니다:

    • 취약점에 대한 상세 설명
    • 프로젝트의 업체 및 이름
    • 영향 받는 버전
    • 수정된 버전
    • 취약점 클래스 (a CWE 식별자)
    • CVSS v3 벡터

    CVE ID 요청 새 이슈

GitLab은 다음 시점에 CVE ID 요청 이슈를 업데이트합니다:

  • 제출이 CVE에 할당될 때
  • CVE가 게시될 때
  • MITRE가 CVE가 게시되었음을 통보 받았을 때
  • MITRE가 NVD 피드에 CVE를 추가했을 때

CVE 할당

CVE 식별자가 할당되면 필요에 따라 참조할 수 있습니다. CVE ID 요청에 제출된 취약점의 세부 정보는 귀하의 일정에 따라 게시됩니다.