위험 점수
릴리스 상태
리스크 점수는 모든 Snyk 플랜에서 Snyk 오픈소스 및 Snyk 컨테이너에 대해 얼리 액세스(Early Access) 상태입니다. 귀하의 그룹에 이를 설정하려면 Snyk 어카운트 팀에 문의하십시오.
Snyk Preview를 사용하여 Snyk 오픈소스 및 Snyk 컨테이너 이슈에 대해 기존의 우선순위 점수(Priority Score)를 새로운 리스크 점수로 교체할 수 있습니다.
Snyk 리스크 점수는 모든 취약점 유형 이슈에 대해 자동 리스크 분석을 적용하여 할당되는 단일 값입니다. 라이선스 이슈는 지원되지 않습니다. 리스크 점수는 잠재적 영향과 익스플로잇 가능성에 기반합니다. 0에서 1,000 사이의 점수는 귀하의 환경에 부과된 리스크를 나타내며 리스크 기반 우선순위 지정 접근 방식을 가능하게 합니다.
리스크 점수는 기여 요인이 변경되지 않는 한 시간이 지나도 동일하게 유지됩니다. 그러나 익스플로잇 예측 점수 시스템(EPSS)과 같은 일부 기여 요인은 수시로 변경될 수 있습니다. 취약점이 처음 게시된 이후의 일수도 요인이 되며, 게시된 지 1년이 넘으면 점수가 한 번 변경되고 가능성(likelihood) 하위 점수가 감소합니다.
실제 리스크는 희소하기 때문에, 다음 프로젝트 점수 분포 예시에서 볼 수 있듯이 점수 분포에서 상당한 편차를 예상해야 합니다.
리스크 점수는 우선순위 점수를 직접 대체합니다. 활성화된 경우 UI, API 및 보고서에 리스크 점수가 도입되는 방식에 대해서는 우선순위 점수 문서를 참조하십시오.
리스크 점수는 CLI에서 사용할 수 없습니다.
Snyk 오픈소스 및 Snyk 컨테이너 프로젝트가 재테스트된 후에만 리스크 점수가 우선순위 점수를 대체합니다.
프로젝트가 자동으로 재테스트될 때까지 기다리거나(Snyk 오픈소스는 매일, Snyk 컨테이너는 매주), 프로젝트를 수동으로 재테스트할 수 있습니다.
API에서 관련 필드는 여전히 priority로 명명되어 있습니다. 리스크 점수가 활성화된 경우, 얼리 액세스 단계의 일환으로 이 필드에 채워지는 점수와 요인은 리스크 점수 모델을 기반으로 합니다.
이슈별 리스크 점수 탐색
이슈 카드 정보를 볼 때, 점수 위에 마우스를 올리면 표시되고 있는 점수의 유형(우선순위 또는 리스크 점수)을 볼 수 있습니다. 리스크 점수 툴팁은 하위 점수와 점수에 기여하는 리스크 요인에 대한 정보를 제공합니다.
리스크 점수 모델에 대하여
리스크 점수를 구동하는 모델은 잠재적 영향과 익스플로잇 가능성에 기반하여 각 보안 이슈에 대해 자동 리스크 분석을 적용합니다.
리스크 모델은 Snyk 보안 데이터 과학 팀과 숙련된 보안 연구원들이 수행한 광범위한 연구 결과입니다. 이 모델은 수년간 Snyk 취약점 데이터베이스를 개발하며 쌓은 전문 지식을 활용합니다.
영향 (Impact) 하위 점수
객관적 영향 요인은 CVSS 영향 메트릭인 가용성(Availability), 기밀성(Confidentiality), 무결성(Integrity) 및 범위(Scope)이며, CVSS 영향 하위 점수를 기반으로 계산됩니다. 컨테이너 이슈의 경우 공급업체 긴급도(Provider Urgency)도 고려됩니다.
비즈니스 중요도(business criticality) 프로젝트 속성은 컨텍스트 영향 요인으로 고려되어 영향 하위 점수를 증가시키거나 감소시킵니다. 자세한 내용은 프로젝트 속성을 참조하십시오.
가능성 (Likelihood) 하위 점수
객관적 가능성 요인이 고려됩니다.
익스플로잇 성숙도 (Exploit Maturity)
익스플로잇 예측 점수 시스템 (EPSS)
권고문의 수명 (Age of advisory)
CVSS 익스플로잇 가능성 메트릭: 공격 벡터(Attack vector), 필요한 권한(Privileges required), 사용자 상호 작용(User interaction) 및 범위(Scope)
소셜 트렌드 (Social Trends)
악성 패키지 (Malicious Package)
공급업체 긴급도 (Provider Urgency, Snyk Container)
패키지 인기도 (Package popularity, Snyk Open Source)
익스플로잇 예측 점수 시스템 (EPSS)은 매일 업데이트됩니다.
컨텍스트 가능성 요인은 가능성 하위 점수를 증가시키거나 감소시킵니다.
도달 가능성 (Reachability, Snyk Open Source Java, JavaScript)
전이 깊이 (Transitive depth)
리스크 요인 상세 분석
객관적 영향 리스크 요인
기밀성 (Confidentiality)
CVSS 정의에 기반하여 고객 데이터 기밀성에 미치는 영향을 나타냅니다. 가능한 입력값: None, Low, High
무결성 (Integrity)
CVSS 정의에 기반하여 고객 데이터 무결성에 미치는 영향을 나타냅니다. 가능한 입력값: None, Low, High
가용성 (Availability)
CVSS 정의에 기반하여 고객 애플리케이션 가용성에 미치는 영향을 나타냅니다. 가능한 입력값: None, Low, High
범위 (Scope)
CVSS 정의에 기반하여 취약점이 대상의 보안 범위 외부 구성 요소에 영향을 미칠 수 있는지 여부를 나타냅니다.
객관적 영향 하위 점수는 CVSS 영향 하위 점수를 기반으로 계산됩니다. 자세한 내용은 위의 CVSS 정의 참조 및 하위 점수 방정식을 참조하십시오.
Unchanged
영향 하위 점수에 영향을 미치지 않음.
Changed
영향 하위 점수에 영향을 미침.
공급업체 긴급도 (Provider urgency, Snyk Container)
해당 운영 체제 배포판 보안 팀에서 제공하는 긴급도 등급입니다. 자세한 내용은 감지된 Linux 취약점의 심각도 수준에서 상대적 중요도에 대한 외부 정보 소스를 참조하십시오.
Critical
영향 하위 점수가 크게 증가함.
High
영향 하위 점수가 증가함.
Medium
영향 하위 점수가 크게 감소함.
Low
영향 하위 점수가 크게 감소함.
공급업체 긴급도는 가능성(Likelihood) 하위 점수에도 영향을 미칩니다.
컨텍스트 영향 리스크 요인
비즈니스 중요도 (Business criticality)
해당 애플리케이션의 주관적인 비즈니스 영향을 나타내는 사용자 정의 프로젝트 속성입니다. 자세한 내용은 프로젝트 속성을 참조하십시오.
Critical
영향 하위 점수가 증가함.
High
영향 하위 점수에 영향을 미치지 않음.
Medium
영향 하위 점수가 감소함.
Low
영향 하위 점수가 크게 감소함.
프로젝트에 비즈니스 중요도 속성을 적용하면 리스크 점수에 새로운 데이터가 반영되도록 재테스트가 필요합니다. 비즈니스 중요도가 할당되지 않은 경우 영향 하위 점수는 영향을 받지 않습니다.
프로젝트의 비즈니스 중요도가 구성되지 않은 경우, 하위 점수가 영향을 받지 않도록 high 기본값이 사용됩니다.
객관적 가능성 리스크 요인
익스플로잇 성숙도 (Exploit maturity)
Snyk에서 검색하고 검증한 모든 공개 익스플로잇의 존재 여부 및 성숙도를 나타냅니다. 자세한 내용은 익스플로잇 보기, 익스플로잇 결정 방법을 참조하십시오.
No Known Exploit
영향 하위 점수가 크게 감소함.
Proof of Concept
영향 하위 점수가 약간 감소함.
Functional
영향 하위 점수가 증가함.
High
영향 하위 점수가 크게 증가함.
EPSS 점수
익스플로잇 예측 점수 시스템(EPSS)은 FIRST 조직이 만들고 소유한 정교한 모델을 기반으로 CVE가 실제로 악용될지 여부를 예측합니다.
확률은 EPSS 모델의 직접적인 출력이며 실제 익스플로잇 위협에 대한 전반적인 느낌을 전달합니다. 이 데이터는 최신 사용 가능한 EPSS 모델 버전에 의존하여 매일 업데이트됩니다. 자세한 내용은 EPSS 문서를 참조하십시오. 가능한 입력값은 EPSS score [0.00-1.00]입니다.
가능성 하위 점수는 EPSS 점수에 따라 크게 증가합니다.
취약점이 악성인 것으로 판명되면 EPSS 값은 1로 설정됩니다. EPSS에 관한 정보를 사용할 수 없는 경우 기본값은 0.01055입니다.
공격 벡터 (Attack vector)
CVSS 정의에 기반하여 취약점 악용이 가능한 컨텍스트를 나타냅니다.
Network
가능성 하위 점수가 증가함.
Adjacent
취약점을 악용하는 데 필요한 원격 액세스 수준에 따라 가능성 하위 점수가 감소함.
Local
취약점을 악용하는 데 필요한 원격 액세스 수준에 따라 가능성 하위 점수가 감소함.
Physical
취약점을 악용하는 데 필요한 원격 액세스 수준에 따라 가능성 하위 점수가 감소함.
공격 복잡성 (Attack complexity)
CVSS 정의에 기반하여 취약점을 악용하기 위해 존재해야 하는 조건에 의해 정의된 복잡성 수준을 나타냅니다.
High
가능성 하위 점수가 감소함.
Low
가능성 하위 점수가 증가함.
필요한 권한 (Privileges required)
CVSS 정의에 기반하여 공격자가 취약점을 성공적으로 악용하기 위해 보유해야 하는 권한 수준을 나타냅니다.
High
필요한 권한 수준에 따라 가능성 하위 점수가 감소함.
Low
필요한 권한 수준에 따라 가능성 하위 점수가 감소함.
None
가능성 하위 점수가 증가함.
사용자 상호 작용 (User interaction)
CVSS 정의에 기반하여 악용 프로세스의 일환으로 사용자의 조치가 필요한지 여부를 나타냅니다.
Required
가능성 하위 점수가 감소함.
None
가능성 하위 점수가 증가함.
소셜 트렌드 (Social trends)
이 취약점에 관한 소셜 미디어 트래픽을 나타냅니다. Snyk 연구에 따르면 더 많은 소셜 미디어 상호 작용은 미래의 익스플로잇을 예측하거나 기존 익스플로잇을 가리킬 수 있습니다. 자세한 내용은 소셜 트렌드가 있는 취약점을 참조하십시오.
Trending
가능성 하위 점수가 증가함.
Not trending
가능성 하위 점수가 변경되지 않음.
악성 패키지 (Malicious package)
공급망 종속성으로 배포된 악성 코드는 악용 가능성이 매우 높은 것으로 간주됩니다.
True
악성 패키지의 경우 가능성 하위 점수가 크게 증가함.
False
가능성 하위 점수가 변경되지 않음.
취약점의 수명 (Age of vulnerability)
게시된 지 얼마 안 된 취약점(1년 이내)은 오래된 취약점(게시 후 1년 이상 경과)보다 악용될 가능성이 더 높습니다.
취약점이 처음 게시된 이후의 일수.
수명이 1년 미만인 경우 - 가능성 하위 점수가 증가함.
수명이 1년 이상인 경우 - 가능성 하위 점수가 감소함.
패키지 인기도 (Package popularity, Snyk Open Source)
패키지가 해당 에코시스템에서 상대적으로 더 인기가 있는 경우, 해커들이 더 넓은 잠재적 타겟 풀의 혜택을 받기 때문에 악용될 가능성이 더 높습니다.
High
가능성 하위 점수가 증가함.
Medium
가능성 하위 점수가 변경되지 않음.
Low
가능성 하위 점수가 감소함.
공급업체 긴급도 (Provider urgency, Snyk Container)
해당 운영 체제 배포판 보안 팀에서 제공하는 중요도 등급입니다. 자세한 내용은 감지된 Linux 취약점의 심각도 수준에서 상대적 중요도에 대한 외부 정보 소스를 참조하십시오.
Critical
영향 하위 점수가 크게 증가함.
High
영향 하위 점수가 증가함.
Medium
영향 하위 점수가 감소함.
Low
영향 하위 점수가 크게 감소함.
CVSS와 중요도 등급이 모두 제공되지 않는 경우, 공급업체 긴급도는 기본적으로 Low로 설정됩니다. 공급업체 긴급도는 영향(Impact) 하위 점수에도 영향을 미칩니다.
컨텍스트 가능성 리스크 요인
전이 깊이 (Transitive depth)
과거 연구를 바탕으로, Snyk 연구에 따르면 취약점이 직접 종속성이 아닌 전이(transitive) 방식으로 프로젝트에 도입된 경우 악용 가능한 기능 경로가 존재할 가능성이 더 낮습니다.
Direct dependency
가능성 하위 점수가 변경되지 않음.
Indirect dependency
가능성 하위 점수가 감소함.
도달 가능성 (Reachability)
Snyk 정적 코드 분석은 취약한 메서드가 호출되고 있는지 확인합니다. 이는 Java 및 JavaScript에 대해 지원됩니다. 자세한 내용은 도달 가능성 분석 페이지를 참조하십시오.
도달 가능성이 활성화되지 않은 경우 가능성 하위 점수는 변경되지 않으며 해당 요인은 표시되지 않습니다.
Reachable
가능성 하위 점수가 증가하며, 전이 깊이는 고려되지 않음.
No path found
가능성 하위 점수가 변경되지 않음.
Last updated