의존성 스캐닝으로 감지된 취약점 처리하기

예약된 파이프라인이 매일 밤 dependency_scanning 작업을 실행합니다. 이 작업은 취약점 보고서 에 새로운 취약점을 추가합니다.

슬랙 알림은 새로운 취약점이 감지되었을 때 #g_distribution 채널로 알립니다. 이 알림을 받으면 다음 단계를 완료하세요.

  1. Omnibus 취약점 보고서를 방문하여 적절한 취약점을 찾습니다. 취약점이 정당하다면:

    • Create Issue를 선택하여 omnibus-gitlab 이슈 트래커에 비밀 이슈를 엽니다.
    • 취약점 상태를 Confirmed로 변경합니다. 취약점이 잘못된 양성, 중복, 또는 다른 조치 불가능한 경우 상태를 Dismiss로 변경합니다.

  2. 이 문제에 securityFor Scheduling 라벨을 지정합니다. GitLab 보안팀은 escalator의 자동화로 이 문제를 인지하게 됩니다.

  3. 보안팀은 Distribution의 도움으로 문제를 확인하고 일정을 잡습니다.

  4. 문제가 저희에게 조치 가능하다면, 보안팀은 다음을 수행합니다:

    • 심각도와 우선 순위에 따라 문제 일정을 계획합니다.
    • 모든 관련 브랜치를 대상으로 하는 필요한 Merge Request(MRs)을 생성합니다.

  5. 취약점을 해결하는 MR이 Merge되고 해당 문제가 닫힌 후:

    • Omnibus 취약점 보고서를 방문합니다.
    • 이미 자동으로 완료되지 않았다면 적절한 취약점 상태를 Resolved로 설정합니다.

  6. 우리의 사용 사례에 해당하지 않는 문제라면, 해당 문제의 상태를 Vulnerability Report 페이지에서 Dismissed로 설정하고 해당 문제를 닫습니다.