Vulnerability

Note

Open Source의 보안 취약점 존재 여부 및 관련 정보(CVE ID, CVSS Score)를 확인할 수 있습니다.

Vulnerability List

VulList
NVD(NATIONAL VULNERABILITY DATABASE)의 NVD Data Feeds에서 제공되는 Open Source의 버전별 최고 보안 취약점 정보를 확인 및 검색 할 수 있습니다.

  1. 검색 조건을(OSS Name, OSS Version, CVE ID) 설정하여 검색할 수 있습니다.
    • OSS Name과 OSS Version은 OSS List에 등록된 OSS와는 무관하며, NVD Data Feeds Product Name과 Version을 의미합니다.
    • exact match 체크 후 검색시, OSS Name 란의 검색어와 완전 일치되는 결과만 조회합니다.
    • CVE ID의 경우, 완전 일치되는 결과만 조회합니다.
  2. 검색 결과
    • OSS Name 링크 클릭 시 : 해당 Row의 OSS Name, nickname의 해당 버전별 검색된 모든 CVE 결과가 팝업으로 보여집니다.
      • OSS Name, nickname, version에 대하여 완전 일치 검색 결과.
      • 단, version: -인 경우는 모든 버전 조회.
    • Nickname 링크 클릭 시 : nickname으로만 조회되는 해당 버전의 모든 CVE 결과가 팝업으로 보여집니다.
      • Nickname, version에 대한 완전 일치 검색 결과.
      • 단, version: -인 경우는 모든 버전 조회.
    • Max CVSS Score : OSS의 버전별 가장 높은 Critical Level이 표시 됩니다.
      • Critical : CVSS Score 9.0 ~ 10.0
      • High : CVSS Score 7.0 ~ 8.9
      • Medium : CVSS Score 4.0 ~ 6.9
      • Low : CVSS Score 0.1 ~ 3.9

Vulnerability 상세 정보

상세 정보 팝업

VulPopUp

  • Project > Identification 또는 Self-Check 화면에서 Vulnerability Icon을 클릭합니다.
  • Vulnerability List에서 검색 후 OSS Name 또는 Nickname의 링크 클릭합니다.

Vulnerability 정보 Export

Self-Check에서 Export 버튼 클릭합니다. VulExport

  • OSS Name : OSS Table에 쓰여진 OSS Name
  • Nick Name : OSS Table에 쓰여진 OSS의 nickname으로 Vulnerability가 조회된 경우, 매칭된 nickname이 표시됩니다. (매칭된 nickname이 없는 경우 -로 표시)
  • OSS Version : Vulnerability 조회된 version
    • OSS 버전이 공란인 경우, Vulnerability 에 존재하는 모든 버전에 대하여 정보를 출력합니다.
    • OSS Version이 설정되어 있는 경우 해당 Version의 하위 버전은 CSV 에 포함되지 않습니다. (상위 버전은 모두 포함)
  • Max Score : 해당 OSS, Version에 대한 Vulnerability Max Score
  • Vulnerability Link : 해당 OSS Name, OSS Version으로 조회된 Vulnerability 목록을 확인할 수 있는 팝업 링크

Vulnerability 정보 수집 및 알림

Vulnerability 정보 수집

  • Vulnerability 정보는 매일 NVD Data Feed 에서 다운로드되어 FOSSLight에 저장됩니다.
  • FOSSLight의 Vulnerability Score는 기본적으로 CVSS v3 Base Score를 기준으로 표기하며, v3 Score가 없는 경우 CVSS v2 Base Score를 대신해서 표기합니다.

Vulnerability 정보 알림

최초로 9.0 이상인 Vulnerability Score가 등록되거나, Vulnerability Score가 9.0 이상에서 9.0 미만으로 변경될 경우 알림 메일이 발송됩니다.

  • Identification이 Confirm된 Project에서 위 조건을 만족하는 OSS가 BOM에 포함된 경우 Project의 Creator, Watcher, Reviewer에 Vulnerability Score 변경 내용이 발송됩니다.