피드로 돌아가기
GitHub BlogSecurity
원문 읽기
GitHub Advisory Database가 2025년 신규 취약점 19% 증가, CWE 태깅 85% 개선, npm 악성코드 공지 69% 증가로 오픈소스 보안 데이터 품질 강화
A year of open source vulnerability trends: CVEs, advisories, and malware
AI 요약
Context
GitHub Advisory Database는 오픈소스 패키지의 보안 취약점과 악성코드를 추적하는 중앙화된 리소스로, 취약점 분류의 일관성 부족과 미검토 아이템 누적으로 인해 데이터 신뢰도와 실용성이 제한되어 있었다. 또한 CVSS와 EPSS 점수 간의 불일치, 저영향도 취약점의 저보고율 등으로 우선순위 결정이 어려웠다.
실천 포인트
오픈소스 의존성을 관리하는 팀은 Dependabot CWE 필터링 규칙을 활용하여 무작정 모든 공지를 추적하는 대신 CWE-79(XSS), CWE-22(경로 순회), CWE-400/770(리소스 고갈) 등 조직의 위험도가 높은 취약점 유형으로 우선순위를 집중할 수 있고, CVSS와 EPSS 점수를 함께 참고하여 실제 악용 가능성이 높은 취약점부터 대응할 수 있다.