GitLab 보안 공고 데이터베이스

GitLab 보안 공고 데이터베이스는 소프트웨어 종속성과 관련된 보안 공고의 저장소로 작용합니다.

이 데이터베이스는 의존성 스캐닝과 컨테이너 스캐닝의 필수 구성 요소입니다.

또한, GitLab 보안 공고 데이터베이스의 무료 오픈 소스 버전인 GitLab 보안 공고 데이터베이스 (오픈 소스 에디션)도 제공됩니다. 그러나 업데이트에는 30일의 지연이 있습니다.

표준화

우리의 공고에서는 취약점과 그 영향을 효과적으로 전달하기 위해 표준화된 사례를 도입합니다.

데이터베이스 탐색

데이터베이스 콘텐츠를 보려면 GitLab 보안 공고 데이터베이스 홈페이지로 이동하십시오. 홈페이지에서 다음을 수행할 수 있습니다:

식별자, 패키지 이름, 설명으로 데이터베이스 검색.
최근에 추가된 공고 확인.
커버리지 및 업데이트 주기를 포함한 통계 정보 확인.

검색

각 공고에는 다음과 같은 세부 정보가 있는 페이지가 있습니다:

식별자: 공개 식별자. 예: CVE ID, GHSA ID 또는 GitLab 내부 ID (GMS-<year>-<nr>).
패키지 슬러그: 패키지 유형과 패키지명이 /로 구분된 것.
취약점: 보안 결함에 대한 간단한 설명.
설명: 보안 결함 및 잠재적인 리스크에 대한 상세한 설명.
영향 받는 버전: 영향을 받는 버전.
솔루션: 취약점 해결 방법.
최종 수정일: 공고가 마지막으로 수정된 날짜.

통계

홈페이지에는 공고 분포, 취약점의 원천, 의존성 스캐닝 커버리지 및 취약점 해결 시간표에 대한 유용한 통찰을 제공하는 통계 섹션도 있습니다.

오픈 소스 에디션

GitLab은 데이터베이스의 무료 오픈 소스 버전인 GitLab 보안 공고 데이터베이스 (오픈 소스 에디션)를 제공합니다.

이 오픈 소스 버전은 GitLab 보안 공고 데이터베이스의 시간 지연된 복제본으로, MIT 라이선스가 부여되며 community-sync 플래그가 있는 30일 이전의 모든 공고를 포함합니다.

통합

참고: GitLab 보안 공고 데이터베이스 조건에 따라 GitLab 보안 공고 데이터베이스에 포함된 데이터의 제3자 도구에 의한 사용이 금지됩니다. 제3자 통합 업체는 MIT 라이선스가 부여된 시간 지연 저장소 복제본을 대신 사용할 수 있습니다.

데이터베이스 사용 방법

예를 들어, 우리는 데이터베이스의 사용 사례로 지속적인 취약성 스캔의 일환으로 공고 흡수 프로세스의 소스로서의 데이터베이스 사용을 강조합니다.

flowchart TB subgraph Dependency Scanning A[GitLab 보안 공고 데이터베이스] end subgraph 컨테이너 스캐닝 C[GitLab 보안 공고 데이터베이스 \n 오픈 소스 에디션 \n Trivy에 통합됨] end A --> B{흡수} C --> B B --> |저장| D{{"클라우드 저장소 \n (NDJSON 형식)"}} F[\GitLab 인스턴스/] --> |데이터를 가져옴| D F --> |저장| G[(관계형 데이터베이스)]

유지 관리

Vulnerability Research 팀은 GitLab 보안 공고 데이터베이스 및 GitLab 보안 공고 데이터베이스 (오픈 소스 에디션)의 유지 보수 및 정기적 업데이트를 담당합니다.

커뮤니티 기여는 community-sync 플래그를 통해 advisories-community에서 접근할 수 있습니다.

취약점 데이터베이스 기여

목록에 없는 취약점에 대해 알고 있다면 GitLab 보안 공고 데이터베이스에 기여하기 위해 이슈를 오픈하거나 취약점을 제출할 수 있습니다.

더 많은 정보는 기여 가이드라인을 참조하십시오.

라이선스

GitLab 보안 공고 데이터베이스는 GitLab 보안 공고 데이터베이스 조건에 따라 자유롭게 접근할 수 있습니다.