NVD enrichment 중단에 따른 PURL 기반 다중 소스 취약점 분석 설계

NIST Narrows the NVD: What Container Security Programs Should Reassess

Dan Berezin Stelzer2026년 5월 13일6분advanced

AI 요약

Context

NVD의 CVE 제출량이 2020년 대비 263% 급증하며 분석 역량의 한계에 도달함. 기존 컨테이너 스캐너들이 의존하던 CPE 매핑과 CVSS 점수 제공 범위가 축소되어 취약점 가시성 상실 및 SLA 준수 불가능 상태가 발생함.

NVD 단일 의존성을 탈피하여 CISA KEV, GitHub Advisory 등 22개 이상의 Advisory Source를 통합하는 Aggregation 아키텍처 채택
CPE 기반의 불완전한 식별 체계 대신 PURL(Package URL)을 통한 정밀한 패키지 매칭 로직 구현
SLSA Build Level 3 파이프라인 기반의 SBOM 생성을 통해 외부 DB 의존 없는 정확한 패키지 인벤토리 확보
VEX(Vulnerability Exploitability eXchange) 서명 문서 도입으로 실제 환경 내 exploitability 여부를 독립적으로 정의
Hardened System Packages 구조를 통한 업스트림 배포 주기와 무관한 독립적 패키지 패치 메커니즘 적용

실천 포인트

1. 취약점 스캐너가 NVD 외에 어떤 보조 소스(GitHub, OSV 등)를 활용하는지 검증

2. CPE 매핑 부재 시 'UNKNOWN' 처리 여부 및 이에 따른 Remediation Workflow 트리거 로직 확인

3. CVE 공시일과 NVD Enrichment일의 시차를 고려한 SLA 측정 기준 재정립

4. SBOM 및 VEX 도입을 통한 이미지 수준의 취약점 가시성 확보

태그