문제 열 사전
Snyk 보고에는 많은 필터와 열이 포함되어 있어 사용자가 정제된 데이터 보기를 개발하고 필요한 인사이트를 쉽게 얻을 수 있도록 합니다. 정확한 결론을 도출하려면 사용된 열과 필터의 의미를 이해해야 합니다. 이 사전은 Snyk 이슈 상세 보고서(Snyk Issues Detail report)에 있는 이슈 열의 의미를 설명합니다.
각 내부 목록은 알파벳순으로 정렬되어 있습니다.
이슈 특성 (Issue characteristics)
이슈의 주요 속성을 설명합니다.
ASSET FINDING ID - Snyk Code 이슈에만 적용되는 리포지토리 레벨의 고유한 이슈 ID입니다.
COMMIT ID - SCM 통합이 커밋에 할당하여 고유하게 식별할 수 있게 하는 고유 ID입니다. Snyk은 Snyk Code 이슈에 대해서만 커밋 ID를 제공합니다.
CODE REGION - 파일 내에서 이슈가 발견된 줄 번호 및 열 범위입니다.
COMPUTED FIXABILITY (계산된 수정 가능성) - 취약점 해결 경로를 기반으로 이슈를 수정할 수 있는지 여부를 나타냅니다. SCA 취약점과 관련이 있습니다. 자세한 내용은 계산된 수정 가능성 필터를 참조하십시오.
Fixable (수정 가능): 식별된 모든 이슈에 대해 수정 사항이 있음을 의미하며, 모든 상세 경로에 해결책이 있습니다.
Partially fixable (부분적 수정 가능): 이슈에 업그레이드 가능한 경로가 있지만, 모든 상세 경로에 해결책이 있는 것은 아닙니다.
No supported fix (지원되는 수정 사항 없음): 이슈에 업그레이드 가능한 경로가 없습니다.
FILE PATH - Snyk Code가 특정 이슈를 식별한 파일의 경로입니다.
HAS JIRA ISSUE(S) ASSIGNED - 적어도 하나의 Jira 이슈가 할당된 경우
true를 표시하고, 그렇지 않으면false를 표시합니다.INTRODUCTION CATEGORY (도입 카테고리) - 이슈가 도입된 방식을 분류합니다.
Baseline Issue (기준선 이슈) - 프로젝트 모니터링이 시작된 직후에 식별된 이슈입니다.
Preventable Issue (예방 가능 이슈) - Snyk이 감지 시점보다 적어도 7일 전에 관련 문제를 게시한 이슈입니다.
Non Preventable Issue (예방 불가능 이슈) - 새로운 취약점 게시와 같은 외부 요인으로 인해 생성된 이슈입니다.
Other New Issue (기타 신규 이슈) - Snyk이 예방 가능 여부를 분류할 수 없는 이슈입니다. 자세한 내용은 리스크 도입 방식의 구분을 참조하십시오.
ISSUE (이슈) - 다음의 조합입니다.
Problem Title (문제 제목): Snyk 취약점 이름.
Issue Type (이슈 유형): 이슈가 취약점, 라이선스 또는 구성 중 무엇과 관련이 있는지 나타냅니다.
ISSUE STATUS (이슈 상태) - 이슈가 열림(open), 해결됨(resolved) 또는 무시됨(ignored) 상태인지 나타냅니다.
JIRA ISSUES LIST - 첨부된 모든 Jira 이슈 키 목록입니다.
LATEST JIRA ISSUE - 프로젝트 페이지의 이슈 카드로 연결되는 링크가 포함된 가장 최근에 첨부된 Jira 이슈 키입니다.
PRODUCT NAME - Snyk 제품 이름입니다.
SEVERITY (심각도) - 특정 Snyk 제품의 분석에 따른 이슈 심각도를 나타냅니다.
SCORE (점수) - 분석 모델에 기반한 점수입니다. 우선순위 점수(Priority score)는 정식 출시(General Availability) 상태이고, 리스크 점수(Risk Score)는 얼리 액세스(Early Access) 상태입니다. 자세한 내용은 우선순위 점수 vs 리스크 점수를 참조하십시오.
REACHABILITY (도달 가능성) - 이슈의 도달 가능성은 이슈가 애플리케이션에 의해 호출되는 코드 요소(함수, 모듈, 클래스 등)와 관련이 있는지 여부를 나타내며, 따라서 악용 가능성 리스크가 더 높음을 의미합니다. 허용되는 값:
Reachable (도달 가능) - 애플리케이션에서 취약한 코드로 이어지는 직접 또는 간접 경로가 발견되었습니다.
No path found (경로 발견되지 않음) - 애플리케이션에서 취약한 코드로 이어지는 경로가 발견되지 않았습니다. 이 값은 시간이 지나면서 변경될 수 있음에 유의하십시오.
Not applicable (해당 없음) - 도달 가능성이 특정 이슈와 관련이 없습니다. 아직 지원되지 않는 언어나 Snyk 오픈소스 취약점이 아닌 이슈에 대해 이 값이 나타납니다.
이슈 취약점 세부 정보
취약점 세부 정보는 Snyk, Mitre, NVD 또는 기타 신뢰할 수 있는 보안 조직에 의해 정의되는 다양한 이슈 속성을 나타냅니다.
ATTACK VECTOR (공격 벡터) - 취약점 악용이 가능한 컨텍스트를 나타냅니다. 공격 벡터와 그 값(Network, Adjacent, Local, Physical)에 대한 자세한 내용은 사양 문서를 참조하십시오.
CVE - Mitre CVE ID
CWE - Mitre CWE ID
EPSS SCORE - 향후 30일 이내에 실제로 악용될 확률입니다.
EPSS PERCENTILE - 동일하거나 더 낮은 EPSS 점수를 가진 모든 취약점의 비율입니다.
EXISTS IN DIRECT DEPENDENCY - 취약점이 직접 종속성에 존재하는지 여부를 나타냅니다. false인 경우, 취약점은 전이(transitive) 종속성에만 존재합니다.
EXPLOIT MATURITY (익스플로잇 성숙도) - Snyk에 의해 검증된 공개 익스플로잇의 존재 여부 및 성숙도를 나타냅니다. 자세한 내용은 프로젝트에서 익스플로잇 보기를 참조하십시오. 허용되는 값은 다음과 같습니다.
Mature (성숙함): Snyk이 이 취약점에 대한 코드 익스플로잇을 게시했습니다.
Proof of concept (개념 증명): Snyk이 이 취약점을 악용하는 방법에 대한 개념 증명이나 상세한 설명을 보유하고 있습니다. 개념 증명 취약점 패치는 비활성화할 수 없으며 발견된 수정 PR에서 볼 수 있습니다.
No known exploit (알려진 익스플로잇 없음): Snyk이 이 취약점에 대한 개념 증명이나 게시된 익스플로잇을 찾지 못했습니다.
No data (데이터 없음): 이슈가 취약점이 아니라 라이선스 이슈이거나 취약점 권고문인 경우입니다.
FIXED IN AVAILABLE (수정 버전 제공 여부) - 취약점에 대한 수정 사항이 포함된 새로운 패키지 버전이 존재하는지 여부를 나타냅니다.
FIXED IN VERSION (수정 버전) - 취약점 수정 사항이 포함된 패키지 버전을 나타냅니다.
NVD SCORE - NVD에 의해 계산된 취약점 점수입니다.
NVD SEVERITY - NVD에 의해 등급이 매겨진 취약점 심각도입니다.
PACKAGE NAME AND VERSION - 취약점과 연관된 패키지 이름 및 버전입니다.
PROBLEM ID - 취약점을 고유하게 식별하는 Snyk 취약점 DB ID입니다.
PROBLEM TITLE - Snyk에 의해 기술된 취약점 이름입니다.
SEMVER VULNERABLE RANGE - 취약한 패키지 버전 범위(시맨틱 버저닝 기반)입니다.
SNYK CVSS SCORE - Snyk의 CVSS(Common Vulnerability Scoring System) 점수입니다.
VULNERABILITY PUBLICATION DATE - Snyk에 의해 취약점이 게시된 타임스탬프입니다.
이슈 컨텍스트 열
컨텍스트 열은 계층 구조, 프로젝트 및 타겟, 자산 또는 애플리케이션 컨텍스트를 포함한 다양한 컨텍스트를 기반으로 이슈의 영향과 리스크를 이해하는 데 도움을 줍니다.
Snyk 계층 구조 컨텍스트
ORG NAME (조직 이름) - Snyk 조직의 이름입니다.
프로젝트 및 타겟 컨텍스트
PROJECT COLLECTION (프로젝트 컬렉션) - 프로젝트 컬렉션은 프로젝트의 정적 모음입니다.
PROJECT CRITICALITY (프로젝트 중요도) - 프로젝트의 비즈니스 중요도입니다. 자세한 내용은 프로젝트 속성을 참조하십시오.
PROJECT ENVIRONMENT (프로젝트 환경) - 프로젝트의 환경입니다. 자세한 내용은 프로젝트 속성을 참조하십시오.
PROJECT LIFECYCLE (프로젝트 수명 주기) - 프로젝트의 수명 주기입니다. 자세한 내용은 프로젝트 속성을 참조하십시오.
PROJECT NAME (프로젝트 이름) - 프로젝트의 이름입니다.
PROJECT ORIGIN (프로젝트 출처) - 프로젝트의 통합 소스입니다. 원래의 SCM 이름, 컨테이너 레지스트리 등이 될 수 있습니다.
PROJECT OWNER (프로젝트 소유자) - 프로젝트 소유자로 정의된 사용자입니다.
PROJECT TAGS (프로젝트 태그) - 프로젝트와 연관된 태그입니다. 자세한 내용은 프로젝트 태그를 참조하십시오.
PROJECT TARGET (프로젝트 타겟) - 타겟 이름입니다.
PROJECT TARGET REFERENCE (프로젝트 타겟 참조) - 프로젝트를 구분하는 참조입니다(예: 브랜치 이름 또는 버전). 자세한 내용은 모니터링을 위한 분기 또는 버전별 프로젝트 그룹화를 참조하십시오.
PROJECT TYPE (프로젝트 유형) - 프로젝트의 패키지 관리자입니다.
자산 컨텍스트
자산 컨텍스트별로 이슈를 필터링할 때, 보관된(archived) 자산의 이슈는 결과에서 제외됩니다.
ASSET CLASS (자산 클래스) - 자산의 비즈니스 중요도(A, 가장 중요 - D, 가장 덜 중요)를 지정합니다.
ASSET ID - Snyk 그룹 내 자산의 고유 식별자입니다.
ASSET NAME (자산 이름) - 자산의 이름입니다.
ASSET TAGS (자산 태그) - 가져온 데이터나 사용자 입력에 기반하여 자산에 할당된 태그입니다.
ASSET TYPE (자산 유형) - 자산의 유형을 지정합니다: 리포지토리, 컨테이너 이미지 또는 패키지.
PARENT ASSET ID (상위 자산 ID) - 상위 자산의 고유 식별자입니다.
PARENT ASSET NAME (상위 자산 이름) - 상위 자산의 이름입니다.
REPOSITORY FRESHNESS (리포지토리 최신성) - 마지막 커밋 날짜를 기반으로 한 리포지토리 활동 상태입니다.
Active: 지난 3개월 이내에 커밋이 있음.
Inactive: 마지막 커밋이 지난 3~6개월 사이에 이루어짐.
Dormant: 지난 6개월 동안 커밋이 없음.
N/A: Snyk Essentials에 의해 감지된 커밋이 없음.
애플리케이션 컨텍스트
애플리케이션 컨텍스트 데이터를 보강하는 방법에 대한 자세한 내용은 SCM 통합을 위한 애플리케이션 컨텍스트 페이지를 참조하십시오.
애플리케이션 컨텍스트별로 이슈를 필터링할 때, 보관된 자산의 이슈는 결과에서 제외됩니다.
APPLICATION (애플리케이션) - 자산이 연관된 애플리케이션 또는 서비스를 나타냅니다.
ASSET LIFECYCLE (자산 수명 주기) - 자산의 수명 주기 상태를 나타냅니다 (예:
production,experimental,deprecated).ASSET OWNER (자산 소유자) - 자산의 코드 소유자를 나타내며, 보통 개발 팀이어야 합니다.
CATALOG NAME (카탈로그 이름) - 애플리케이션 컨텍스트 카탈로그의 이름입니다.
CATEGORY (카테고리) - 리포지토리 자산의 카테고리입니다 (예: 서비스 또는 라이브러리).
이슈 날짜 열
날짜 열은 다양한 계산 및 트렌드 분석에 사용되는 중요한 이벤트를 나타냅니다.
INTRODUCED (도입됨) - 이슈를 식별한 첫 번째 스캔의 타임스탬프입니다.
LAST IGNORED (마지막 무시일) - 이슈가 마지막으로 무시됨으로 표시된 타임스탬프입니다.
LAST INTRODUCED (마지막 도입일) - 이 이슈를 식별한 마지막 스캔의 타임스탬프입니다.
LAST RESOLVED (마지막 해결일) - 테스트에서 이슈가 더 이상 발견되지 않은 마지막 타임스탬프입니다.
Last updated