GitLab 고문 안전성 데이터베이스

GitLab 고문 안전성 데이터베이스는 소프트웨어 종속성과 관련된 보안 고문을 위한 저장소로 작용합니다. 최신 보안 고문으로 매시간 업데이트됩니다.

이 데이터베이스는 의존성 스캔 및 컨테이너 스캔의 중요한 구성 요소입니다.

GitLab 고문 안전성 데이터베이스의 무료 오픈 소스 버전은 또한 GitLab 고문 안전성 데이터베이스 (오픈 소스 에디션)로 이용 가능합니다. 그러나 업데이트에는 30일의 지연이 있습니다.

표준화

저희의 고문에서 취약점과 그 영향을 효과적으로 전달하기 위해 표준화된 방식을 채택합니다.

데이터베이스 탐색

데이터베이스 내용을 보려면 GitLab 고문 안전성 데이터베이스 홈페이지로 이동하세요. 홈페이지에서 다음을 할 수 있습니다:

식별자, 패키지명, 설명별로 데이터베이스를 검색할 수 있습니다.
최근에 추가된 고문을 볼 수 있습니다.
커버리지 및 업데이트 빈도와 같은 통계 정보를 볼 수 있습니다.

검색

각 고문은 다음과 같은 세부 정보가 있는 페이지를 갖고 있습니다:

식별자: 공개 식별자. 예: CVE ID, GHSA ID 또는 GitLab 내부 ID (GMS-<year>-<nr>).
패키지 슬러그: 패키지 유형 및 슬러그로 구분된 패키지명.
취약점: 보안 결함에 대한 간단한 설명.
설명: 보안 결함과 잠재적인 위험에 대한 자세한 설명.
영향 받는 버전: 영향 받는 버전.
해결책: 취약점을 해결하는 방법.
최종 수정일: 고문이 마지막으로 수정된 날짜.

오픈 소스 에디션

GitLab은 데이터베이스의 무료 오픈 소스 버전, GitLab 고문 안전성 데이터베이스 (오픈 소스 에디션)을 제공합니다.

오픈 소스 버전은 GitLab 고문 안전성 데이터베이스의 일부 고문 중 30일 이전이거나 community-sync 플래그가 있는 경우를 포함한 지연된 클론으로, MIT 라이선스를 따릅니다.

통합

참고: GitLab 고문 안전성 데이터베이스 약관은 제3자 도구에 의해 데이터베이스에 포함된 데이터의 사용을 금지합니다. 제3자 통합업체들은 MIT 라이선스를 따르는 지연된 저장소 클론을 대신 사용할 수 있습니다.

데이터베이스 사용 방법

예를 들어, 우리는 데이터베이스를 지속적인 취약성 스캔의 일환으로 고문 Ingestion 프로세스의 출처로 사용 예시를 강조합니다.

%%{init: { "fontFamily": "GitLab Sans" }}%% flowchart TB accTitle: 고문 Ingestion 프로세스 accDescr: 고문 Ingestion 프로세스를 이루는 일련의 동작들. subgraph 의존성 스캔 A[GitLab 고문 안전성 데이터베이스] end subgraph 컨테이너 스캔 C[GitLab 고문 안전성 데이터베이스 \n 오픈 소스 에디션 \n Trivy에 통합] end A --> B{Ingest} C --> B B --> |저장| D{{"클라우드 저장소 \n (NDJSON 형식)"}} F[\GitLab 인스턴스/] --> |데이터 추출| D F --> |저장| G[(관계형 데이터베이스)]

유지관리

Vulnerability Research 팀은 GitLab 고문 안전성 데이터베이스와 GitLab 고문 안전성 데이터베이스 (오픈 소스 에디션)의 유지 및 정기적인 업데이트를 책임지고 있습니다.

사용자 커뮤니티 기여는 community-sync 플래그가 있는 advisories-community를 통해 접근할 수 있습니다.

취약성 데이터베이스 기여

목록에 없는 취약성에 대해 알고 계신다면, 이를 GitLab 고문 안전성 데이터베이스에 기여하기 위해 이슈를 열거나 취약성을 제출할 수 있습니다.

자세한 정보는 기여 가이드라인을 참조하세요.

라이선스

GitLab 고문 안전성 데이터베이스는 GitLab 고문 안전성 데이터베이스 약관에 따라 자유롭게 이용 가능합니다.