Skip to main content

이 버전의 GitHub Enterprise Server는 다음 날짜에 중단됩니다. 2026-08-25. 지원되지 않는 릴리스는 지원되지 않습니다. 중요한 보안 문제에 대해서도 패치 릴리스가 이루어지지 않습니다. GitHub Enterprise Server의 향상된 성능, 향상된 보안 및 새로운 기능은 업그레이드 프로세스의 오버뷰 참조하세요. 업그레이드에 대한 도움이 필요하면 GitHub Enterprise 지원에 문의하세요.

GitHub 권고 데이터베이스

오픈 소스 패키지에서 알려진 보안 취약성 및 맬웨어를 조사하여 종속성 위험을 이해하고 수정할 수 있습니다.

GitHub Advisory Database에 대한 정보

보안 공지는 OSV(오픈 소스 취약성) 형식의 JSON 파일로 게시됩니다. OSV 형식에 대한 자세한 내용은 “오픈 소스 취약성 형식”을 참조하세요.

보안 권고 유형

각 권고 사항은 GitHub Advisory Database 소프트웨어 구성 요소의 특정 보안 문제와 관련이 있습니다. 이러한 문제에는 여러 종류가 있습니다.

취약성은 프로젝트의 코드에 존재하는 문제로, 해당 프로젝트나 이를 사용하는 다른 프로젝트의 기밀성, 무결성 또는 가용성을 해치는 데 악용될 수 있습니다. 코드의 취약성은 일반적으로 실수로 도입되고 발견된 직후에 해결됩니다. 취약성 권고에는 문제가 있는 릴리스된 패키지 버전 범위 및 문제가 해결된 초기 버전에 대한 정보가 포함됩니다. 이렇게 하면 소프트웨어의 다운스트림 사용자가 사용 가능한 즉시 고정 버전을 사용하도록 종속성을 업데이트하여 취약성을 해결할 수 있습니다.

반면, 악성 소프트웨어 또는 맬웨어는 원치 않는 또는 유해한 기능을 수행하도록 의도적으로 설계된 코드입니다. 맬웨어는 맬웨어를 사용하는 애플리케이션의 하드웨어, 소프트웨어, 기밀 데이터 또는 사용자를 대상으로 할 수 있습니다. 프로젝트에서 맬웨어를 제거하고 종속성에 대한 보다 안전한 대체 방법을 찾아야 합니다. 맬웨어 경고의 정의 특성은 안전한 버전이 없다는 점이므로 맬웨어 경고는 수정 버전을 포함하지 않습니다. 유일한 안전한 작업 과정은 패키지를 전혀 사용하지 않는 것입니다.

GitHub-검토된 취약점 권고문

다음 원본에서 GitHub Advisory Database에 권고를 추가합니다.

다른 데이터베이스를 알고 있는 경우 권고를 https://github.com/github/advisory-database에서 가져와야 합니다.

** GitHub-검토된** 권고는 지원되는 에코시스템의 패키지에 매핑됩니다. 각 권고의 유효성을 신중하게 검토하고 전체 설명과 에코시스템 및 패키지 정보가 모두 포함되어 있는지 확인합니다.

일반적으로 지원되는 에코시스템은 소프트웨어 프로그래밍 언어의 연결된 패키지 레지스트리를 따라 명명됩니다. 지원되는 레지스트리에서 제공되는 패키지의 취약성에 대한 권고인 경우 당사에서 검토합니다.

지원해야 하는 새로운 에코시스템에 대한 제안이 있는 경우 토론을 위해 이슈를 개설해 주세요.

리포지토리를 Dependabot alerts 사용하도록 설정하면, 새롭게 GitHub 검토된 권고가 사용하는 패키지의 취약성을 보고할 때 자동으로 알림을 받습니다. 자세한 내용은 Dependabot 경고을(를) 참조하세요.

확인하지 않은 취약성 권고

확인하지 않은 권고는 국가 취약성 데이터베이스 피드에서 직접 자동으로 GitHub Advisory Database게시됩니다.

Dependabot는 검토되지 않은 권고에 대해 유효성 또는 완료 여부를 확인하지 않으므로 Dependabot alerts를 만들지 않습니다.

맬웨어 권고

맬웨어 권고는 맬웨어로 인한 취약성과 관련이 있으며 npm 에코시스템에만 적용됩니다. npm 보안 팀에서 제공한 정보를 통해 직접 GitHub Advisory Database에 자동으로 게시합니다.

Dependabot 는 대부분의 취약성을 다운스트림 사용자가 해결할 수 없으므로 맬웨어가 감지될 때 경고를 생성하지 않습니다. type:malware에서 GitHub Advisory Database을 검색하여 맬웨어 권고를 볼 수 있습니다.

맬웨어 권고는 대부분 대체 공격에 관한 내용입니다. 이러한 유형의 공격 중에 공격자는 악성 버전이 이용되기를 바라며 사용자가 타사 또는 프라이빗 레지스트리에서 의존하는 종속성과 동일한 이름으로 퍼블릭 레지스트리에 패키지를 게시합니다. Dependabot 에서는 패키지가 프라이빗 레지스트리에서 제공되는지 확인하기 위해 프로젝트 구성을 살펴보지 않으므로 악의적인 버전을 사용하고 있는지 또는 이름이 같은 악성 버전이 아닌 버전을 사용하고 있는지 확인할 수 없습니다. 종속성의 범위를 적절히 지정한 사용자는 맬웨어의 영향을 받지 않습니다.

보안 권고의 정보

이 섹션에서는 의 특정 데이터 특성 GitHub Advisory Database에 대한 자세한 정보를 찾을 수 있습니다.

GHSA ID들

형식에 관계없이 각 보안 공지에는 GHSA ID라고 하는 고유 식별자가 있습니다. GHSA-ID 한정자는 지원되는 원본 중 하나에서 새 권고가 GitHub에 생성되거나 GitHub Advisory Database에 추가될 때 할당됩니다.

GHSA ID의 구문은 GHSA-xxxx-xxxx-xxxx 형식을 따릅니다. 여기서

  • x23456789cfghjmpqrvwx라는 세트의 문자 또는 숫자입니다.
  • 이름의 GHSA 부분 외부:
    • 숫자와 글자는 임의로 할당됩니다.
    • 모든 글자는 소문자입니다.

정규식을 사용하여 GHSA ID를 확인할 수 있습니다.

Bash
/GHSA(-[23456789cfghjmpqrvwx]{4}){3}/

CVSS 수준

CVSS GitHub Advisory Database 버전 3.1 및 CVSS 버전 4.0을 모두 지원합니다.

각 보안 권고에는 취약성 또는 맬웨어에 대한 정보가 포함되어 있으며, 여기에는 설명, 심각도, 영향을 받는 패키지, 패키지 에코시스템, 영향을 받는 버전 및 패치된 버전, 영향 및 선택적 정보(예: 참조, 해결 방법 및 크레딧)가 포함될 수 있습니다. 또한 국가별 취약성 데이터베이스 목록의 권고에는 취약성, CVSS 점수 및 정성적 심각도 수준에 대한 자세한 내용을 읽을 수 있는 CVE 레코드에 대한 링크가 포함되어 있습니다. 자세한 내용은 NIST(미국 국립표준기술원)의 “국가별 취약성 데이터베이스”를 참조하세요.

심각도 수준은 “CVSS(일반적인 취약성 점수 매기기 시스템), 섹션 5”에 정의된 4가지 가능한 수준 중 하나입니다.

  • 낮음
  • 중간/보통
  • 높음
  • 긴급

위에서 GitHub Advisory Database 설명한 CVSS 수준을 사용합니다. CVE GitHub 를 가져오는 경우 GitHub Advisory Database 유지 관리자가 할당한 CVSS 버전(버전 3.1 또는 4.0)을 사용합니다. CVE를 가져오는 GitHub Advisory Database 경우 CVSS 버전 4.0, 3.1 및 3.0을 지원합니다.

GitHub Security Lab에 참가하여 보안 관련 항목을 찾아보고 보안 도구 및 프로젝트에 기여할 수도 있습니다.

EPSS 점수

EPSS(Exploit Prediction Scoring System)는 취약성 악용 가능성을 정량화하기 위해 글로벌 FIRST(Forum of Incident Response and Security Teams)에서 고안한 시스템입니다. 이 모델은 0에서 1(0~100%) 사이의 확률 점수를 생성합니다. 이 점수가 높을수록 취약성이 악용될 확률이 높아질 수 있습니다. FIRST에 대한 자세한 내용은 https://www.first.org/를 참조하세요.

GitHub Advisory Database 해당 EPSS 데이터가 포함된 CVE를 포함하는 권고에 대한 FIRST의 EPSS 점수가 포함됩니다. GitHub 또한 EPSS 점수 백분위수(동일하거나 낮은 EPSS 점수를 가진 모든 점수가 매해진 취약성의 비율)를 표시합니다.

예를 들어 EPSS 모델에 따르면 권고에 95번째 백분위수에서 90.534%의 백분율을 가진 EPSS 점수가 있는 경우 다음을 의미합니다.

  • 이 취약성이 향후 30일 동안 실제 악용될 확률은 90.534%입니다.
  • 모델링된 전체 취약성의 95%는 이 취약성보다 향후 30일 이내에 악용될 가능성이 낮은 것으로 간주됩니다.

이 데이터를 해석하는 방법에 대한 확장 정보는 FIRST의 EPSS 사용자 가이드에서 찾을 수 있습니다. 이 정보는 FIRST의 모델에 따라 취약점이 실제 악용될 가능성을 해석하는 데 백분율과 백분위수 모두를 사용하는 방법을 이해하는 데 도움이 됩니다. 자세한 내용은 FIRST 웹 사이트의 FIRST의 EPSS 사용자 가이드를 참조하세요.

FIRST는 EPSS 데이터 배포에 대한 추가 정보도 제공합니다. 자세한 내용은 FIRST 웹 사이트의 EPSS 데이터 및 통계 설명서를 참조하세요.

참고

GitHub 는 매일 동기화 작업을 통해 EPSS 데이터를 최신 상태로 유지합니다. EPSS 점수 백분율은 항상 완전히 동기화되지만 점수 백분위수는 크게 다른 경우에만 업데이트됩니다.

여기서 GitHub는 이 데이터를 작성하지 않고 FIRST에서 원본을 제공합니다. 즉, 커뮤니티 기여에서 이 데이터를 편집할 수 없습니다. 커뮤니티 기여에 대한 자세한 내용은 GitHub Advisory Database에서 보안 권고 편집을(를) 참조하세요.

커뮤니티 기여

커뮤니티 기여는 전역 보안 권고의 콘텐츠를 개선하는 github/advisory-database 리포지토리에 제출된 끌어오기 요청입니다. 커뮤니티 기여를 할 때 영향을 받는 추가 에코시스템, 심각도 수준 또는 영향을 받는 사람에 대한 설명을 포함하여 세부 정보를 편집하거나 추가할 수 있습니다. GitHub Security Lab 큐레이션 팀은 제출된 기여를 검토하고 수락된 경우 게시합니다GitHub Advisory Database.

추가 읽기