의존성 스캔에서 감지된 취약점 처리

예약된 파이프라인은 매일 밤 dependency_scanning 작업을 실행합니다. 이 작업은 Vulnerability Report에 새로운 취약점을 추가합니다.

#g_distribution 채널로 Slack 알림은 새로운 취약점이 감지될 때마다 전달됩니다. 이 알림을 받으면 다음 단계를 완료하세요.

  1. Omnibus Vulnerability Report를 방문하고 적절한 취약점을 찾습니다. 취약점이 적절한 경우:

    • Create Issue를 선택하여 omnibus-gitlab 이슈 트래커에 비밀 이슈를 엽니다.
    • 취약점 상태를 Confirmed로 변경합니다. 취약점이 잘못 감지된 경우, 중복된 경우 또는 그 외에 처리할 수 없는 경우, 상태를 Dismiss로 변경합니다.

  2. 이 문제에 securityFor Scheduling 라벨을 지정합니다. GitLab 보안 팀은 이스켈레이터(escalator)에 의한 자동화로 이 문제를 인지하게 됩니다: https://gitlab.com/gitlab-com/gl-security/automation/escalator.

  3. 보안 팀은 Distribution의 도움을 받아 문제를 조사하고 예약합니다.

  4. 문제가 우리에게 실행 가능한 경우, 보안 팀은 다음을 수행합니다:

    • 심각도와 우선순위에 따라 문제를 예약합니다.
    • 모든 관련 브랜치를 대상으로 하는 필요한 병합 요청(MR)을 생성합니다.

  5. 취약점을 수정하는 MR이 병합되고 해당 문제가 닫힌 후:

    • Omnibus Vulnerability Report를 방문합니다.
    • 적절한 취약점을 찾아 상태를 자동으로 변경되지 않은 경우 Resolved로 설정합니다.

  6. 문제가 우리의 사용 사례에 해당되지 않는 경우, 해당 문제의 상태를 Vulnerability Report 페이지에서 Dismissed로 설정하고 해당 이슈를 닫습니다.