심각도 수준

vulnerability assessment를 수행하기 위해 심각성 수준을 사용하십시오. 심각성 수준은 Critical(심각), High(높음), Medium(중간), Low(낮음)로 평가된 위험 수준을 나타냅니다. Snyk는 많은 곳에서 심각성 수준의 취약점 수를 보고합니다. 디스플레이는 다양하며 전형적인 예제는 아래와 같습니다.

다음 표에 심각성 수준이 정의되어 있습니다.

심각성 수준과 우선 순위 점수

심각성 수준은 각 취약점의 Snyk 우선 순위 점수를 결정하는 데 사용되는 요소 중 하나입니다. 다른 요소에는 Snyk Exploit Maturity 및 Reachable Vulnerabilities 정보가 포함됩니다.

자세한 내용은 Snyk 우선 순위 점수를 참조하십시오.

심각성 수준 보기 방법

심각성 수준은 항상 이 정보를 보기 쉽게 유지하기 위해 Snyk에서 표시됩니다.

예를 들어, 심각성 수준은 대시보드의 보류 중인 작업 섹션에 표시됩니다:

심각성 수준은 Snyk Projects와 연계하여 표시됩니다:

각 심각성 수준의 문제 수는 이슈 카드의 왼쪽 사이드바에도 표시됩니다:

Snyk이 심각성 수준을 결정하는 방법

심각성 수준 및 CVSS

공통 취약성 점수 평가 시스템 (CVSS)이 취약성의 심각성 수준을 결정합니다.

Snyk은 취약점의 특성과 심각성을 지정하기 위해 CVSS 프레임워크 버전 4.0를 지원하며, 이전 버전인 CVSS 프레임워크 버전 3.1도 지원하여 취약성의 특성과 심각성을 지정합니다.

CVSS v4.0의 지원 이전에 발표된 취약점은 3.1 버전의 CVSS를 기반으로 심각성을 정의합니다.

심각성 수준 및 점수는 CVSS 베이스 점수 계산을 사용하여 베이스 메트릭을 기반으로 결정됩니다. 임시 점수는 임시 메트릭을 기반으로 결정됩니다.

자세한 내용은 CVE에 대한 CVSS 소개: 보안 취약점 평가 점수 매기기를 참조하십시오.

같은 취약성에 대한 여러 CVSS 점수가 있는 이유

같은 취약성에 대해 여러 CVSS 점수가 있는 이유는 다음과 같습니다:

• 취약성의 심각성을 평가할 때 한 가지 CVSS 벡터가 없다는 점을 기억해야 합니다. 여러 벤더에 의해 정의된 여러 CVSS 벡터가 있으며, National Vulnerability Database (NVD) 등이 있습니다.

• Snyk가 발표하는 대부분의 취약성은 소유자에게 의해 발견됩니다, 공개 정보 소스 또는 제3자 통지를 통해 얻어집니다. 예를 들어, Snyk가 심각도가 높은 Spring4Shell 취약성을 발견했을 때, CVSS 벡터 분석이 포함된 공지가 2022년 3월 30일에 게시되었습니다. 이는 공식 CVE가 할당되기 전이며, NVD가 필터링을 한 후 2022년 4월 8일에 게시한 것입니다.

• CVSS 벡터에 약간의 차이가 있을 경우가 있으며, 이는 일반적이고 예상되는 것입니다. 특정 공격 벡터의 가능성에 대한 일부 불일치와 해당 애플리케이션 및 오픈 소스 소프트웨어 사용자의 사용 사례에 대한 판단이 포함됩니다.

• 취약성의 심각성은 "레드 팀" 각도 또는 "블루 팀" 각도에서 비롯할 수 있는 다양한 요소에 의해 영향을 받습니다. 객관적이고 실행 가능한 등급을 도출하기 위해 Snyk 분석가들은 벤더, 제보자, 공격자까지 모든 관련 데이터 범위를 검토합니다.

• 벤더가 취약성에 대한 추가 정보를 발견하는 경우 해당 취약성의 심각성에 영향을 미칠 수 있습니다. 사용자는 Snyk에서 정리한 정보와 참고를 통해 심각성을 결정하는 데 사용된 모든 관련 정보를 찾을 수 있습니다.

심각성 수준 및 CCSS

국가표준기술원(NIST)에서 개발한 공통 구성 점수 시스템 (CCSS)은 소프트웨어 보안 구성 문제의 심각성을 측정합니다.

Snyk은 IaC+ 취약점과 잘못된 구성에 대한 특성과 심각성을 지정하기 위해 CCSS를 사용합니다.

심각성 수준 및 점수는 베이스 메트릭을 사용하여 CCSS 베이스 점수 계산을 통해 결정됩니다.