Risk Score(위험 점수)

Snyk 위험 점수는 취약점 유형 모든 문제에 대해 자동 위험 분석에 의해 적용된 단일값입니다. 라이선스 문제는 지원되지 않습니다. 위험 점수는 잠재적 영향 및 악용 가능성을 기반으로 합니다. 0부터 1,000까지의 범위로, 점수는 환경에 부과되는 위험을 나타내며 위험 중심 우선순위 접근 방식을 가능하게 합니다.

위험 점수는 기여 요인이 변경되지 않는 한 시간이 지나도 동일합니다. 그러나 악용 예측 점수 시스템 (EPSS)과 같은 일부 요인은 자주 변경될 수 있습니다. 취약점이 처음 발표된 이후의 일수도 요인이며, 일수가 1년 이상이 되고 가능성 하위 점수가 감소할 때에만 점수가 변경됩니다.

실제 위험이 드물기 때문에, Project 점수 분포의 중요한 변동이 예상되며, 예시로 볼 수 있는 Project 점수 분포는 다음과 같습니다:

위험 점수는 우선순위 점수를 직접 대체합니다. Risk Score 를 상호 작용하는 방법은 우선순위 점수 문서를 참조하십시오. Risk Score 가 활성화되면 UI, API 및 보고서에서 Risk Score 가 도입된 부분을 확인할 수 있습니다.

CLI에서는 Risk Score를 사용할 수 없습니다.

문제 별 Risk Score 탐색

Issue 카드 정보를 보다 보면, 점수 위에 마우스를 가져가면 현재 표시 중인 점수 유형 (우선 순위 또는 위험 점수)를 볼 수 있습니다. 위험 점수 툴팁은 서브스코어와 위험 점수에 기여하는 위험 요소에 대한 정보를 제공합니다.

Risk Score 모델 소개

Risk Score를 적용하는 모델은 잠재적 영향 및 악용 가능성에 기초하여 각 보안 문제에 대해 자동 위험 분석을 적용합니다.

영향 서브스코어

객관적인 영향 요인은 CVSS 영향 메트릭스, 가용성, 기밀성, 무결성 및 범위를 기준으로 하여 CVSS 영향 서브스코어를 기반으로 계산됩니다. 컨테이너 문제의 경우, 공급자 긴급도도 고려됩니다.

사업 비전요 속성은 상황 영향 요인으로 고려되어 영향 서브스코어를 증가 또는 감소시킵니다. 자세한 내용은 프로젝트 속성을 참조하십시오.

가능성 서브스코어

객관적 가능성 요인이 고려되며 다음이 포함됩니다:

• 악용 성숙도

• 악용 예측 점수 시스템 (EPSS)

• 공고의 연령

• CVSS 악용 가능성 메트릭스: 공격 벡터, 필요한 권한, 사용자 상호작용 및 범위

• 소셜 트렌드

• 해로운 패키지

• 공급자 긴급도 (Snyk Container)

• 패키지 인기도 (Snyk Open Source)

그런 다음 맥락적 가능성 요소가 가능성 서브스코어를 증가 또는 감소시킵니다:

• 도달 가능성 (Snyk Open Source Java, JavaScript)

• 서술적 깊이

위험 요소 자세히 보기

객관적 영향 위험 요인

기밀성

고객의 데이터 기밀성에 미치는 영향을 나타내며 CVSS 정의에 기초합니다. 가능한 입력 값: None, Low, High

무결성

고객의 데이터 무결성에 미치는 영향을 나타내며 CVSS 정의에 기초합니다. 가능한 입력 값: None, Low, High

가용성

고객의 응용프로그램 가용성에 미치는 영향을 나타내며 CVSS 정의에 기초합니다. 가능한 입력 값: None, Low, High

범위

취약점이 대상의 보안 범위 외의 구성요소에 영향을 줄 수 있는지 여부를 나타냅니다. CVSS 정의를 기초로 합니다. 객관적 영향 서브스코어는 CVSS 영향 서브스코어를 기반으로 계산됩니다. 자세한 내용은 위에서 언급한 CVSS 정의와 서브 스코어 방정식을 참조하십시오.

제공자 긴급도 (Snyk Container)

해당 운영 체제 배포 보안 팀에 의해 제공되는 긴급도 등급입니다. 자세한 내용은 상대적 중요도를 위한 외부 정보 소스를 참조하십시오.

맥락적 영향 리스크 요소

사업 중요성

해당 응용프로그램의 주관적 비즈니스 영향을 나타내는 사용자 정의 프로젝트 속성입니다. 자세한 내용은 프로젝트 속성을 참조하십시오.

프로젝트의 사업 비전요가 구성되지 않은 경우, 하위 점수가 영향을 받지 않도록 기본값인 고가 사용됩니다.

객관적 가능성 리스크 요소

악용 성숙도 (Exploit maturity)

Snyk이 검색하고 확인한 공개 악용의 존재 및 성숙도를 나타냅니다. 자세한 내용은 악용 보기, 악용 확인 방법을 참조하십시오.

EPSS 점수

악용 예측 점수 시스템 (EPSS)은 FIRST 조직이 개발하고 소유한 모델에 기초하여 CVE가 야생에서 악용될 것인지를 예측합니다. 이 확률은 EPSS 모델의 직접적 결과이며, 야생에서 악용 위협의 전반적인 느낌을 전달합니다. 이 데이터는 최신 EPSS 모델 버전을 기반으로 매일 업데이트됩니다. 자세한 내용은 EPSS 문서를 참조하십시오. 가능한 입력 값: EPSS 점수 [0.00-1.00]

취약점이 악성으로 판명되면 EPSS 값은 1로 설정됩니다. EPSS에 관한 정보가 없는 경우 기본값은 0.01055입니다.

공격 벡터 (Attack vector)

취약점이 악용 가능한 맥락을 나타냅니다. CVSS 정의를 기반으로 합니다.

공격 복잡도 (Attack complexity)

취약점을 악용하기 위해 존재해야 하는 조건의 복잡도를 나타내며, CVSS 정의를 기반으로 합니다.

필요한 권한 (Privileges required)

공격자가 취약점을 성공적으로 악용하기 전에 보유해야 하는 권한 수준을 나타내며, CVSS 정의를 기반으로 합니다.

사용자 상호작용 (User interaction)

취약점 악용 과정에서 사용자의 행동이 필요한지 여부를 나타내며, CVSS 정의를 기반으로 합니다.

사회적 동향 (Social trends)

이 취약점에 대한 소셜 미디어 트래픽을 나타냅니다. Snyk 연구에 따르면, 소셜 미디어 상호작용이 증가하면 향후 악용될 가능성이 높거나 이미 악용되고 있을 가능성이 있습니다. 자세한 내용은 사회적 동향이 있는 취약점을 참조하세요.

악성 패키지 (Malicious package)

공급망 종속성으로 배포된 악성 코드는 높은 악용 가능성을 가집니다.

취약점의 연령 (Age of vulnerability)

새로운 취약점(최대 1년 미만)은 오래된 취약점(출시 후 1년 이상)보다 악용될 가능성이 높습니다.

패키지 인기 (Snyk Open Source)

생태계에서 상대적으로 더 인기 있는 패키지는 해커가 더 넓은 표적 그룹을 활용할 수 있기 때문에 악용될 가능성이 높습니다.

공급자 긴급성 (Snyk Container)

해당 운영 체제 배포 보안 팀에서 제공하는 중요도 평가를 나타냅니다. 자세한 내용은 상대적 중요도에 대한 외부 정보 소스를 참조하세요.

맥락적 가능성 위험 요소 (Contextual likelihood risk factors)

전이적 깊이 (Transitive depth)

이전 연구를 기반으로 Snyk 연구에 따르면, 취약점이 직접적으로가 아니라 전이적으로 프로젝트에 도입된 경우, 악용 가능한 함수 경로가 존재할 가능성이 낮아집니다.

도달 가능성 (Reachability)

Snyk 정적 코드 분석은 취약한 메서드가 호출되는지를 결정합니다. 이는 Java 및 JavaScript에 대해 지원됩니다. 자세한 내용은 도달 가능성 분석 페이지를 참조하세요. 도달 가능성이 활성화되지 않은 경우, 가능성 하위 점수는 변경되지 않으며, 해당 요소는 표시되지 않습니다.