심각도 수준
애플리케이션에 대한 취약점 평가(vulnerability assessment)를 돕기 위해 심각도 수준을 사용하십시오. 심각도 수준은 평가된 리스크 수준을 Critical(치명적), High(높음), Medium(중간) 또는 Low(낮음)으로 나타냅니다. Snyk은 Snyk 애플리케이션의 여러 위치에서 각 심각도 수준의 취약점 수를 보고합니다. 표시 방식은 다양하며, 전형적인 예시는 다음과 같습니다.
심각도 수준은 라이선스 이슈에도 적용됩니다. 라이선스를 참조하십시오.
심각도 수준은 다음 표에 정의되어 있습니다.
Critical (치명적)
공격자가 민감한 데이터에 액세스하고 애플리케이션에서 코드를 실행할 수 있습니다.
High (높음)
공격자가 애플리케이션의 민감한 데이터에 액세스할 수 있습니다.
Medium (중간)
특정 조건에서 공격자가 애플리케이션의 민감한 데이터에 액세스할 수 있습니다.
Low (낮음)
애플리케이션이 취약점 매핑을 허용하는 일부 데이터를 노출할 수 있으며, 이는 다른 취약점과 함께 애플리케이션을 공격하는 데 사용될 수 있습니다.
심각도 수준 및 우선순위 점수 (Priority Score)
심각도 수준은 각 취약점에 대한 Snyk 우선순위 점수를 결정하는 데 사용되는 한 가지 요인입니다. 다른 요인으로는 Snyk 익스플로잇 성숙도 및 도달 가능한 취약점(Reachable Vulnerabilities) 정보가 포함됩니다.
자세한 내용은 Snyk 우선순위 점수를 참조하십시오.
심각도 수준을 보는 방법
심각도 수준은 Snyk 전반에 걸쳐 표시되어 이 정보를 항상 확인할 수 있도록 합니다.
예를 들어, 심각도 수준은 대시보드의 Pending tasks 섹션에 나타납니다.
심각도 수준은 Snyk 프로젝트와 연관되어 표시됩니다.
각 심각도 수준의 이슈 수는 이슈 카드의 왼쪽 사이드바에도 표시됩니다.
Snyk이 심각도 수준을 결정하는 방법
심각도 수준 및 CVSS
공통 취약점 점수 시스템(CVSS)은 취약점의 심각도 수준을 결정합니다.
Snyk은 취약점의 특성과 심각도를 지정하기 위해 이전 버전인 CVSS 프레임워크 버전 3.1과 함께 CVSS 프레임워크 버전 4.0을 지원합니다.
CVSS v4.0 지원 이전에 게시된 취약점은 CVSS 3.1 버전을 기반으로 심각도를 정의합니다.
레벨
CVSS 점수
Critical (치명적)
9.0 - 10.0
High (높음)
7.0 - 8.9
Medium (중간)
4.0 - 6.9
Low (낮음)
0.0 - 3.9
심각도 수준과 점수는 기본 메트릭 (Base Metrics)을 사용한 CVSS 기본 점수(Base Score) 계산을 기반으로 결정됩니다. 시간적 메트릭(Temporal Metrics)에 기반한 시간적 점수(Temporal Score)는 우선순위 점수(Priority Score)에 영향을 미칩니다.
보안 취약점 점수 산정 101: CVE를 위한 CVSS 소개를 참조하십시오.
심각도 수준이 항상 CVSS 점수와 일치하지 않을 수도 있습니다. 예를 들어, Linux 취약점에 대한 Snyk Container 심각도 점수는 NVD 심각도 순위에 따라 다를 수 있습니다. 자세한 내용은 Linux 취약점 심각도 이해를 참조하십시오.
왜 동일한 취약점에 대해 여러 CVSS 점수가 있나요?
동일한 취약점에 대해 여러 CVSS 점수가 존재하는 데에는 몇 가지 이유가 있습니다.
취약점의 심각도를 평가할 때 단일 CVSS 벡터는 없다는 점에 유의하는 것이 중요합니다. 여러 벤더에 의해 정의된 여러 CVSS 벡터가 있으며, NVD(National Vulnerability Database)가 그중 하나입니다.
Snyk에서 게시하는 대다수의 취약점은 자체 연구, 공공 정보 소스 또는 제보를 통해 기원합니다.
예를 들어 Snyk이 치명적 심각도의 Spring4Shell 취약점을 발견했을 때, 2022년 3월 30일에 CVSS 벡터 분석과 함께 권고문이 게시되었습니다. 이는 공식 CVE가 할당되기 전이자 NVD가 분석을 수행하기 전이었으며, NVD의 분석은 9일 후인 2022년 4월 8일에 게시되었습니다.
CVSS 벡터에 약간의 차이가 있는 것은 정상적이며 예상되는 일입니다. 특정 공격 벡터의 가능성에는 오픈소스 소프트웨어 사용자의 애플리케이션 및 사용 사례에 적합한 불일치와 판단이 포함될 것입니다.
취약점의 심각도는 해당 취약점이 "레드 팀" 관점에서 오는지 아니면 "블루 팀" 관점에서 오는지 등 다양한 요인에 의해 영향을 받습니다. 객관적이고 실행 가능한 등급을 산출하기 위해 Snyk 분석가들은 벤더부터 제보자, 공격자에 이르기까지 광범위한 데이터를 조사합니다.
벤더가 취약점에 대해 심각도에 영향을 미칠 수 있는 추가 정보를 발견하는 경우가 있습니다. 사용자는 Snyk이 큐레이션한 심각도를 결정하는 데 사용된 모든 관련 정보를 권고문의 설명 및 참조 자료에서 찾을 수 있습니다.
서로 다른 벤더가 서로 다른 버전의 CVSS를 사용하여 점수와 심각도 수준이 달라질 수 있습니다. 예를 들어 Snyk은 2024년에 CVSS 버전 4.0을 주요 프레임워크로 채택했습니다. Snyk이 CVSS v4.0을 사용하여 게시한 취약점을 NVD가 CVSS v3.1을 사용하여 게시한 것과 비교할 때, 점수와 심각도 등급이 크게 다를 수 있습니다. 또한 CVSS 점수 계산은 서로 다른 벡터에 기반하여 수행될 수 있습니다.
기본 (CVSS-B),
기본 + 위협 (CVSS-BT),
기본 + 환경 (CVSS-BE),
기본 + 위협 + 환경 (CVSS-BTE).
Snyk은 기본 메트릭(Base metrics, FedRAMP 및 PCI-DSS와 같은 규정 준수 프레임워크에서 권장하는 방식)을 기반으로 점수 및 심각도 계산을 수행하며, 위협 메트릭(Threat Metric, 익스플로잇 성숙도로도 알려짐)을 별도의 데이터 포인트로 제공합니다.
심각도 수준 및 CCSS
NIST(National Institute of Standards and Technology)에서 개발하고 CVSS에서 파생된 공통 구성 점수 시스템(CCSS)은 소프트웨어 보안 구성 이슈의 심각도를 측정합니다.
Snyk은 IaC+ 취약점 및 잘못된 구성의 특성과 심각도를 지정하기 위해 CCSS를 사용합니다.
레벨
CCSS 점수
Critical (치명적)
9.0 - 10.0
High (높음)
7.0 - 8.9
Medium (중간)
4.0 - 6.9
Low (낮음)
0.0 - 3.9
심각도 수준과 점수는 기본 메트릭(Base Metrics)을 사용한 CCSS 기본 점수(Base Score) 계산을 기반으로 결정됩니다.
Last updated