GitLab 고문 데이터베이스

GitLab 고문 데이터베이스는 소프트웨어 의존성과 관련된 보안 고문에 대한 리포지터리로 작용합니다.

이 데이터베이스는 의존성 스캐닝컨테이너 스캐닝의 필수 컴포넌트입니다.

GitLab 고문 데이터베이스의 무료 오픈 소스 버전인 GitLab 고문 데이터베이스 (오픈 소스 에디션)도 이용할 수 있지만, 업데이트에 30일의 지연이 있습니다.

표준화

우리의 고문에서는 취약점과 그 영향을 효과적으로 전달하기 위해 표준화된 방식을 채택합니다.

데이터베이스 탐색

데이터베이스 콘텐츠를 보려면 GitLab 고문 데이터베이스 홈페이지로 이동하세요. 홈페이지에서 다음을 할 수 있습니다:

  • 식별자, 패키지 이름, 및 설명으로 데이터베이스 검색하기
  • 최근에 추가된 고문 보기
  • 커버리지 및 업데이트 빈도를 포함한 통계 정보 보기

검색

각 고문은 다음과 같은 세부 정보가 포함된 페이지를 갖고 있습니다:

  • 식별자: 공개 식별자. 예를 들어, CVE ID, GHSA ID, 또는 GitLab 내부 ID (GMS-<year>-<nr>)
  • 패키지 슬러그: 슬래시로 구분된 패키지 유형과 패키지 이름
  • 취약점: 보안 결함에 대한 간단한 설명
  • 설명: 보안 결함 및 잠재적인 위험에 대한 상세한 설명
  • 영향 받는 버전: 영향 받는 버전
  • 해결 방법: 취약점을 해결하는 방법
  • 최근 수정 날짜: 고문이 마지막으로 수정된 날짜

통계

홈페이지는 또한 통계 섹션을 제공하여 고문 분포, 취약점의 원천, 의존성 스캐닝 커버리지, 그리고 취약점 해결에 대한 타임라인에 대한 유용한 통찰을 제공합니다.

오픈 소스 에디션

GitLab은 데이터베이스의 무료 오픈 소스 버전, GitLab 고문 데이터베이스 (오픈 소스 에디션)을 제공합니다.

이 오픈 소스 버전은 GitLab 고문 데이터베이스의 시간 지연된 복제본으로, MIT 라이선스가 부여되어 있으며, 30일 이전 또는 community-sync 플래그가 있는 GitLab 고문 데이터베이스의 모든 고문을 포함합니다.

통합

note
GitLab 고문 데이터베이스 약관은 제3자 도구에 의해 해당 데이터 사용을 금지합니다. 제3자 통합 업체는 MIT 라이선스가 부여된 시간 지연된 리포지터리 복제본을 대신 사용할 수 있습니다.

데이터베이스 사용 방법

예를 들어, 연속적인 취약성 스캔의 일환으로 고문 적재 과정의 소스로써의 데이터베이스 사용을 강조합니다.

flowchart TB subgraph 의존성 스캐닝 A[GitLab 고문 데이터베이스] end subgraph 컨테이너 스캐닝 C[GitLab 고문 데이터베이스 \n 오픈 소스 에디션 \n Trivy에 통합됨] end A --> B{적재} C --> B B --> |저장| D{{"클라우드 저장 \n (NDJSON 형식)"}} F[\GitLab 인스턴스/] --> |데이터 추출| D F --> |저장| G[(관계형 데이터베이스)]

유지보수

취약성 연구 팀은 GitLab 고문 데이터베이스 및 GitLab 고문 데이터베이스 (오픈 소스 에디션)의 유지 및 정기적 업데이트를 담당합니다.

커뮤니티 기여는 advisories-community에서 community-sync 플래그를 통해 접근할 수 있습니다.

취약성 데이터베이스 기여

디렉터리에 없는 취약점을 알고 있다면, 문제를 열거나 취약점을 제출하여 GitLab 고문 데이터베이스에 기여할 수 있습니다.

자세한 정보는 기여 가이드라인을 참조하세요.

라이선스

GitLab 고문 데이터베이스는 GitLab 고문 데이터베이스 약관에 따라 자유롭게 액세스할 수 있습니다.