Artifact Analysis의 심각도 수준

이 문서에서는 아티팩트 분석이 취약점을 평가하고 심각도 수준을 할당하는 방법을 설명합니다.

Artifact Analysis는 다음 수준을 사용하여 취약점 심각도를 평가합니다.

  • 심각
  • 높음
  • 보통 성과자
  • 낮음

이러한 심각도 수준은 취약점의 악용 가능성, 범위, 영향, 성숙도와 같은 요소를 반영하는 정성적 라벨입니다. 예를 들어 원격 사용자가 시스템에 액세스하여 인증 또는 사용자 상호작용 없이 임의의 코드를 실행할 수 있는 취약점이 있다면 이 취약점은 Critical로 분류됩니다.

각 취약점에는 두 가지 추가 심각도가 연결되어 있습니다.

  • 유효 심각도 - 취약점 유형에 따라 다음과 같습니다.

    • OS 패키지 - Linux 배포판 유지관리자가 할당한 심각도 수준입니다. 이러한 심각도 수준을 사용할 수 없는 경우 아티팩트 분석은 메모 제공업체(NVD)의 심각도 값을 사용합니다. NVD의 CVSS v2 등급을 사용할 수 없는 경우 Artifact Analysis는 NVD의 CVSS v3 등급을 사용합니다.
    • 언어 패키지 - GitHub Advisory Database에서 할당한 심각도 수준으로, 약간의 차이가 있습니다. Moderate(보통)는 Medium(중간)으로 보고됩니다.

  • CVSS 점수 - Common Vulnerability Scoring System 점수 및 관련 심각도 수준으로, 다음 두 가지 점수 버전이 있습니다.

    • CVSS 2.0 - API, Google Cloud CLI, GUI를 사용할 때 사용할 수 있습니다.
    • CVSS 3.1 - API 및 gcloud CLI를 사용할 때 사용할 수 있습니다.

다음 단계