취약한 종속성에 대한 노출 정보

취약한 종속성에 대한 조직의 노출을 이해하는 것은 보안 위험을 식별하고 우선 순위를 지정하기 위해 필수적입니다. GitHub에서 Dependabot 메트릭을 활용하면 취약성을 효율적으로 평가하고, 우선 순위를 지정하고, 수정하여 보안 침해 가능성을 줄일 수 있습니다.

누가 이 기능을 사용할 수 있나요?

GitHub Team 또는 GitHub Enterprise 필요

이 문서의 내용

취약한 종속성에 대한 노출 정보

취약한 종속성에 대한 노출을 방지하려면 이를 평가하는 것이 중요합니다.

  • 공급망 손상 공격자는 오픈 소스 또는 타사 종속성에서 취약성을 악용하여 악성 코드를 삽입하고, 권한을 상승하거나, 시스템에 무단으로 액세스할 수 있습니다. 손상된 종속성은 악의적인 행위자의 간접 진입점 역할을 하여 광범위한 보안 인시던트로 이어질 수 있습니다.

  • 위험의 광범위한 전파 취약한 종속성은 종종 여러 애플리케이션 및 서비스에서 재사용되는 경우가 많으므로, 단 하나의 결함이 조직 전체에 퍼져나가 악용의 위험과 영향이 가중될 수 있습니다.

  • 예기치 않은 가동 중지 시간 및 운영 중단 종속성 취약성을 악용하면 애플리케이션 중단, 서비스 품질 저하, 중요한 시스템의 연속 오류로 인해 비즈니스 운영이 중단될 수 있습니다.

  • 규정 및 라이선스 문제 많은 규정 및 업계 표준을 통해 조직은 소프트웨어 공급망의 알려진 취약성을 사전에 해결해야 합니다. 취약한 종속성을 수정하지 못하면 비준수, 감사, 법적 처벌, 오픈 소스 라이선스 의무 위반으로 이어질 수 있습니다.

  • 수정 비용 증가 취약한 종속성이 해결되지 않은 채 길어질수록, 특히 종속성이 깊이 통합되거나 인시던트가 발생한 경우, 이 문제를 수정하기가 더 어려워지고 비용이 많이 듭니다. 조기에 감지하고 해결하면 비용이 많이 드는 사고 대응, 비상 패치, 평판 손상의 위험이 줄어듭니다.

종속성 취약성에 대한 노출을 정기적으로 평가하는 것은 위험을 조기에 식별하고, 효과적인 수정 전략을 구현하고, 복원력 있고 신뢰할 수 있는 소프트웨어를 유지하는 데 도움이 되는 좋은 방법입니다.

Dependabot은 취약성과 오래된 패키지에 대한 프로젝트 종속성을 자동으로 모니터링합니다. 보안 문제 또는 새로운 버전이 감지되면 영향을 받는 종속성을 업데이트하기 위한 끌어오기 요청을 만들어 보안 위험을 신속하게 해결하고 소프트웨어를 최신 상태로 유지할 수 있습니다. 이렇게 하면 수동 작업이 줄어들고 프로젝트의 보안을 유지할 수 있습니다. Dependabot 빠른 시작 가이드을(를) 참조하세요.

GitHub는 조직의 모든 리포지토리에서 이러한 위험을 모니터링하고, 우선 순위를 지정하고, 해결하는 데 도움이 되는 포괄적인 Dependabot 메트릭 세트를 제공합니다. Dependabot 경고의 메트릭 보기을(를) 참조하세요.

AppSec 관리자를 위한 주요 작업

1. 취약성 메트릭 모니터링

Dependabot의 메트릭 개요를 사용하면 조직의 종속성 취약성의 현재 상태를 파악할 수 있습니다. Dependabot 경고의 메트릭 보기을(를) 참조하세요.

  • 경고 우선 순위 지정: 열려 있는 Dependabot alerts의 수를 검토하고 CVSS 심각도, EPSS 악용 가능성, 패치 가용성, 배포된 아티팩트에서 취약한 종속성이 실제로 사용되는지 여부와 같은 필터를 사용합니다. Dependabot 대시보드 보기 필터를 참조하세요.
  • 리포지토리 수준 분석: 위험 또는 악용 가능한 취약성이 가장 많은 리포지토리를 식별합니다.
  • 수정 추적: 시간의 경과에 따라 수정된 경고의 수와 비율을 추적하여 취약성 관리 프로그램의 효과를 측정합니다.

2. 수정 작업의 우선 순위 지정

조직에 가장 높은 위험을 초래하는 취약성에 집중합니다.

  • 심각도가 높거나 위험한 경고, 높은 EPSS 점수, 사용 가능한 패치에 우선 순위를 지정합니다.
  • 리포지토리 분석을 활용하여 가장 위험한 프로젝트에 수정 작업을 지시합니다.
  • 배포된 아티팩트에서 실제로 사용되는 취약성을 리포지토리 사용자 지정 속성을 통해 해결하도록 개발팀을 장려합니다.

3. 위험 및 진행률 전달

  • Dependabot 메트릭 페이지를 사용하여 주요 위험 요소와 수정 진행 상황을 이해관계자에게 전달하세요.
  • 미해결 상태의 심각한 취약성 감소나 수정률 개선과 같은 추세에 대한 정기적인 업데이트를 제공합니다.
  • 추가 지원 또는 주의가 필요한 리포지토리 또는 팀을 강조 표시합니다.

4. 정책 수립 및 시행

  • 모든 리포지토리에 대한 종속성 검토 및 Dependabot alerts를 요구하는 조직 전체 정책을 수립합니다. 종속성 검토 정보Dependabot 경고 정보을(를) 참조하세요.
  • 새 리포지토리가 종속성 모니터링에 자동으로 등록되었는지 확인합니다.
  • 가능한 경우 리포지토리 관리자와 협력하여 자동화된 보안 업데이트를 활성화합니다. Dependabot 보안 업데이트 정보을(를) 참조하세요.

5. Dependabot alerts의 영향 평가

  • Dependabot alerts가 보안 취약성이 코드베이스에 유입되는 것을 차단하는 데 어떻게 도움이 되는지 정기적으로 검토하세요.
  • 기록 데이터를 사용하여 사전 예방적 종속성 관리의 가치를 보여 줍니다.