피드로 돌아가기
Dev.toSecurity
원문 읽기
4종의 CVE Ignore 파일을 단일 소스로 통합 관리하는 변환 아키텍처 설계
One CVE, four ignore files: unifying Trivy, Grype, Snyk and osv-scanner
AI 요약
Context
Trivy, Grype, Snyk, osv-scanner 등 다중 스캐너 운용 시 발생하는 동일 CVE에 대한 중복 설정 관리 문제 분석. 도구별로 상이한 스키마와 제약 사항으로 인해 수동 관리 시 설정 불일치 및 보안 홀 발생 가능성 상존.
Technical Solution
- 공통 분모인 CVE ID를 중심축으로 설정한 통합 데이터 모델 설계
- 표현력(Expressiveness) 차이에 따른 Lossy Conversion 매핑 로직 구현
- Snyk/osv-scanner의 정교한 Expiry 및 Path Scope 데이터를 Trivy의 단순 텍스트 주석으로 변환하는 다운그레이드 전략 채택
- 고차원 설정(Package Scope)을 저차원 설정(Global Ignore)으로 변환할 때 발생하는 Blast Radius 확장을 사용자에게 명시적으로 경고하는 검증 프로세스 도입
- 데이터 유출 방지를 위해 브라우저 기반 로컬 런타임 처리 구조 설계
- 상위 포맷에서 하위 포맷으로의 단방향 정보 손실을 추적하여 인간의 최종 판단을 유도하는 인터페이스 구성
실천 포인트
- 다중 보안 스캐너 도입 시 설정 파일의 Single Source of Truth 확보 방안 검토 - 보안 예외 처리(Suppression) 시 반드시 사유(Reason)와 만료일(Expiry)을 명시하는 정책 수립 - 단순 ID 기반 무시 설정이 가져올 보안 범위 확대(Blast Radius) 위험성 평가 - 서로 다른 설정 스키마 간 변환 시 데이터 손실 가능성이 있는 필드 리스트 정의