GitLab 어드바이저리 데이터베이스

GitLab 어드바이저리 데이터베이스는 소프트웨어 종속성과 관련된 보안 권고 사항의 저장소 역할을 합니다. 최신 보안 권고 사항으로 매시간 업데이트됩니다.

이 데이터베이스는 종속성 스캐닝컨테이너 스캐닝 모두의 필수 구성 요소입니다.

GitLab 어드바이저리 데이터베이스의 무료 오픈 소스 버전은 GitLab 어드바이저리 데이터베이스 (오픈 소스 에디션)으로도 제공됩니다. 그러나 업데이트에는 30일의 지연이 있습니다.

표준화

우리의 권고 사항에서는 취약점 및 그 영향을 효과적으로 전달하기 위해 표준화된 관행을 채택합니다.

데이터베이스 탐색

데이터베이스 내용을 보려면 GitLab 어드바이저리 데이터베이스 홈페이지로 이동하세요. 홈페이지에서는 다음을 수행할 수 있습니다:

  • 식별자, 패키지 이름 및 설명으로 데이터베이스 검색.
  • 최근에 추가된 권고 사항 보기.
  • 범위 및 업데이트 빈도 등 통계 정보 보기.

검색

각 권고 사항에는 다음 세부정보가 포함된 페이지가 있습니다:

  • Identifiers: 공개 식별자. 예를 들어, CVE ID, GHSA ID 또는 GitLab 내부 ID(GMS-<year>-<nr>).
  • Package Slug: 패키지 유형과 패키지 이름이 슬래시로 구분되어 있습니다.
  • Vulnerability: 보안 결함에 대한 간단한 설명.
  • Description: 보안 결함 및 잠재적 위험에 대한 상세 설명.
  • Affected Versions: 영향을 받은 버전.
  • Solution: 취약점을 해결하는 방법.
  • Last Modified: 권고 사항이 마지막으로 수정된 날짜.

오픈 소스 에디션

GitLab은 GitLab 어드바이저리 데이터베이스 (오픈 소스 에디션)의 무료 오픈 소스 버전을 제공합니다.

오픈 소스 버전은 GitLab 어드바이저리 데이터베이스의 시간 지연 클론으로, MIT 라이센스로 제공되며 GitLab 어드바이저리 데이터베이스에서 30일 이상 된 권고 사항 또는 community-sync 플래그가 있는 모든 권고 사항을 포함합니다.

통합

note
GitLab 어드바이저리 데이터베이스 약관은 써드 파티 도구에서 GitLab 어드바이저리 데이터베이스에 포함된 데이터 사용을 금지합니다. 써드 파티 통합자는 MIT 라이센스가 부여된, 시간 지연된 저장소 클론을 대신 사용해야 합니다.

데이터베이스 사용 방법

예를 들어, 우리는 지속적 취약성 스캔의 일환으로 권고 사항 수집 프로세스의 소스로서 데이터베이스 사용을 강조합니다.

%%{init: { "fontFamily": "GitLab Sans" }}%% flowchart TB accTitle: 권고 사항 수집 프로세스 accDescr: 권고 사항 수집 프로세스를 구성하는 작업의 순서. subgraph 종속성 스캐닝 A[GitLab 어드바이저리 데이터베이스] end subgraph 컨테이너 스캐닝 C[GitLab 어드바이저리 데이터베이스 \n 오픈 소스 에디션 \n Trivy에 통합됨] end A --> B{수집} C --> B B --> |저장| D{{"클라우드 스토리지 \n (NDJSON 형식)"}} F[\GitLab 인스턴스/] --> |데이터를 가져옴| D F --> |저장| G[(관계형 데이터베이스)]

유지보수

Vulnerability Research 팀은 GitLab Advisory Database 및 GitLab Advisory Database (Open Source Edition)의 유지보수 및 정기 업데이트를 담당하고 있습니다.

커뮤니티 기여는 community-sync 플래그를 통해 advisories-community에서 접근할 수 있습니다.

취약점 데이터베이스에 기여하기

목록에 없는 취약점에 대해 알고 있다면, 문제를 열거나 취약점을 제출하여 GitLab Advisory Database에 기여할 수 있습니다.

자세한 내용은 기여 가이드라인을 참조하세요.

라이선스

GitLab Advisory Database는 GitLab Advisory Database Terms에 따라 자유롭게 접근할 수 있습니다.