의존성 스캐닝으로 발견된 취약점 처리

일정한 파이프라인이 매일 밤 dependency_scanning 작업을 실행합니다. 이 작업은 새로운
취약점을 취약점 보고서에 추가합니다.

슬랙 알림은 새로운
취약점이 발견되면 슬랙의 #g_distribution에 알립니다. 이 알림을 받으면 다음 단계를 완료하세요.

  1. Omnibus 취약점 보고서를 방문하여
    적절한 취약점을 찾아주세요. 취약점이 진짜인 경우:

    • Create Issue를 선택하여 omnibus-gitlab 이슈 트래커에서 비공식 이슈를 엽니다.

    • 취약점 상태를 Confirmed로 변경합니다. 취약점이 잘못된 탐지, 중복이거나 그렇지 않으면 처리할 수 없는 경우, 상태를 Dismiss로 변경하세요.

  2. 이슈에 securityFor Scheduling 레이블을 붙입니다. 그러면 GitLab
    Security 팀이 자동화에 의해 이 이슈를 인지하게 됩니다: https://gitlab.com/gitlab-com/gl-security/automation/escalator.

  3. Security 팀은 이슈를 분류하고 Distribution의 도움으로
    일정에 추가합니다.

  4. 이 이슈가 우리에게 처리 가능하다면, Security 팀은:

    • 심각도와 우선 순위에 따라 이 이슈를 일정에 추가합니다.

    • 모든 관련 브랜치를 타겟으로 하는 필요한 머지 요청(MRs)을 생성합니다.

  5. 취약점을 수정하는 MR이 병합되고, 해당 이슈가 닫힌 후:

    • Omnibus 취약점 보고서를 방문합니다.

    • 적절한 취약점을 찾아 상태가 자동으로 Resolved로 변경되지 않았다면 설정합니다.

  6. 이 이슈가 우리 사용 사례에 대해 무의미한 경우,
    취약점 보고서 페이지에서 상태를 Dismissed로 설정하고
    해당 이슈를 닫습니다.