애플리케이션 취약성 필드

  • 릴리스 버전: Zurich
  • 업데이트 날짜 2025년 07월 31일
  • 소요 시간: 6분

    • NVD(국가 취약성 데이터베이스), CWE(일반적인 약점 열거) 또는 타사 통합에서 기록을 다운로드하면 취약성이 자동으로 생성됩니다. NVD 및 CWE는 의 라이브러리취약성 대응 또는 취약점애플리케이션 취약성 대응아래에 저장됩니다.

    CWE 취약성 항목 필드

    이 테이블의 필드는 읽기 전용입니다.

    필드 설명
    CWE-ID 이 취약성 항목의 식별자입니다. 이 식별자는 범주와 약점 모두에 사용되며 두 데이터 세트 간에 고유합니다.
    이름 이 CWE-ID에 할당된 설명이 포함된 이름입니다.
    악용 가능성 질적 척도에서 약점이 악용될 가능성입니다. 다음 중 하나입니다.
    • 낮음
    • 보통
    • 높음
    OWASP 상위 10개 위치 OWASP 상위 10개 목록에서 이 취약성의 숫자 위치입니다.
    SANS에서 25 위치로 SAN 상위 25개 목록에서 이 취약성의 숫자 위치입니다.
    클래스 약점의 유형
    상태 다음 중 하나입니다.
    • 완료 안 됨
    • 초안
    • 안정
    • 사용하지 않음
    • 사용되지 않음
    • 불안정
    추상화 다음 중 하나입니다.
    • 변형
    • 클래스
    • 기본
    • 복합
    업데이트됨 인스턴스에서 기록이 마지막으로 업데이트된 시간입니다.
    기능 영역 영향을 받는 기능 영역의 목록입니다. 예를 들어 파일 처리입니다. 24/862 약점에 대해서만 채워집니다.
    영향을 받는 리소스 영향을 받는 자원의 목록입니다. 예를 들어 파일 또는 디렉터리입니다. 51/863 약점에만 적용됩니다.
    URL 이 취약성과 관련된 기술 자료 문서입니다.
    설명 취약성에 대한 설명입니다.
    통합 실행 이 CWE를 임포트한 통합 실행입니다.
    섹션
    추가 상세 정보 약점을 추가로 설명하는 소프트웨어 개념 설명입니다. 다음이 포함됩니다.
    • 확장된 설명
    • 백그라운드 세부 정보
    • 메모
    탐지 방법 애플리케이션에서 이 약점을 감지할 수 있는 방법에 대한 상세 정보입니다.
    소개 모드 약점이 도입되는 단계(예: 구현, 아키텍처 및 설계 등)입니다.
    데모 예제 약점에 대한 코드 예제와 함께 설명이 제공됩니다.
    잠재적 완화 취약점이 발생하는 애플리케이션 수명주기 단계 및 완화 효과를 포함하여 약점을 방지하는 방법에 대한 상세 정보입니다.
    관련 목록
    관계 이 취약성과 관련된 CWE입니다. 이 CWE와 다른 CWE의 관계를 나열합니다. parent/child, follows/precedes, requiredby/requires(복합 약점의 경우), CanAlsoBe, PeerOf, MemberOf를 포함할 수 있습니다.
    관찰 예 이 약점을 대표하는 일부 CVE입니다.
    일반적인 결과

    범위 및 영향 측면에서 성공적인 익스플로잇의 결과입니다. 예:

    범위: 기밀성

    영향: 애플리케이션 데이터 읽기
    구성원 자격 이러한 취약성이 있는 CWE 회원.
    적용 가능 플랫폼 이 취약성과 관련된 플랫폼입니다.
    애플리케이션 취약성 항목 이와 연관된 다른 애플리케이션 취약성 항목입니다.
    외부 참조 외부 소스에서 얻은 취약성에 대한 정보입니다.

    애플리케이션 취약성 항목 필드

    이 테이블의 필드는 읽기 전용입니다.
    필드 설명
    ID 이 취약성 항목의 식별자입니다.
    소스 취약성의 출처(스캐너 또는 물리적 테스트)입니다.
    심각도 이 취약성의 정규화된 심각도 수준입니다. NVD 및 타사 통합에 ServiceNow 대해 심각도 맵이 제공됩니다. 심각도 맵 생성 및 조정에 대한 자세한 내용은 다음 문서를 참조하십시오 애플리케이션 취약한 항목의 심각도를 자동으로 매핑.

    버전 13.0: 기본 CWE

    버전 12.1: CWE 항목

    이 취약성이 가장 적합한 일반 약점 열거형 요소에 대한 참조입니다.

    취약성과 관련된 CWE가 둘 이상인 경우 기본 CWE는 다음과 같이 결정됩니다.
    • CWE가 OWASP 상위 10개 항목에 매핑되어 있습니까? 그렇다면 이 CWE를 사용합니다. 그렇지 않은 경우 계속합니다.
    • CWE가 SAN 상위 25개 항목에 매핑됩니까? 그렇다면 이 CWE를 사용합니다. 그렇지 않은 경우 계속합니다.
    • CWE의 심각도가 가장 높습니까? 그렇다면 이 CWE를 사용하십시오. 그렇지 않은 경우 계속합니다.
    • 모든 CWE 중 최신 CW를 선택합니다. 최신 CWE는 CWE 기록에서 최신 업데이트된 필드 값이 있는 CWE입니다.
    범주 이름 외부 공급업체 통합에서 제공하는 분류입니다. 임무 수행을 돕는다.
    취약성 상세 정보
    위협 이 취약성으로 인한 위협에 대한 설명입니다.
    완화 설명 취약성을 완화하기 위해 수행할 수 있는 단계에 대한 설명입니다.
    관련 목록
    버전 13.0 :

    CWE

    		 이 취약성과 연관된 CWE 목록입니다. 에는 Veracode Vulnerability Integration적용되지 않음.

    NVD 항목 필드

    이 테이블에서 임포트한 필드는 읽기 전용입니다.
    주:

    NVD 데이터는 사용되지 애플리케이션 취약성 대응 않으며 항목은 데이터만 나타냅니다 취약성 대응 .

    에서 사용되는 애플리케이션 취약성 대응CWE는 약점의 예로 NVD 항목을 가리킬 수 있으며 여기서는 정보 제공의 목적으로만 제공됩니다.

    필드 설명
    ID 이 취약성 항목의 식별자입니다.
    위험 등급

    (취약성과 관련된 취약한 항목(VI)이 없는 취약성 대응 경우 숨겨짐)

    VI를 중요, 높음, 중간, 낮음 및 없음으로 구분하는 정량화된 위험 점수 입니다.
    위험 점수

    (취약성과 연관된 VI가 없는 경우 숨겨짐)

    취약한 항목이 환경에 미치는 위험의 계산된 양입니다.
    심각도 에서 이 취약성의 정규화된 심각도 .취약성 대응 NVD 및 타사 통합에 ServiceNow 대해 심각도 맵이 제공됩니다. 애플리케이션 취약성 대응 심각도는 NVD가 아닌 임포트된 소스 심각도에서 파생됩니다. 심각도 매핑에 대한 애플리케이션 취약성 대응 자세한 내용은 다음 문서를 참조하십시오 애플리케이션 취약한 항목의 심각도를 자동으로 매핑.
    익스플로잇 존재 예, 하나 이상의 익스플로잇이 이 취약성과 관련된 경우 가능합니다.
    익스플로잇 기술 수준 이 취약성을 악용하는 데 필요한 가장 낮은 기술 수준입니다.
    익스플로잇 공격 벡터

    이 취약성에 대한 익스플로잇의 가장 취약한 공격 벡터입니다.
    활성 VI

    (취약성과 연관된 VI가 없는 경우 숨겨짐)

    이러한 취약성과 연관된 취약한 항목의 수로, 종결 상태가 아닙니다. 이 취약성에 대한 활성 AVI가 없으면 위험 등급위험 점수 가 표시되지 않습니다.
    CWE 항목 NVD에 따라 이 취약성이 가장 적합한 Common Weakness Enumeration 요소에 대한 참조입니다.
    게시 날짜 취약성이 게시된 날짜입니다.
    마지막으로 수정됨 취약성이 마지막으로 수정된 날짜입니다.
    요약 취약성에 대한 설명입니다.
    취약성 상세 정보
    CVSS v2 임포트된 CVSS v2 데이터
    CVSS v3 2015년 이전에는 사용할 수 없었던 임포트된 CVSS v3 데이터입니다.
    기본 솔루션

    (취약성과 연관된 VI가 없는 경우 숨겨짐)

    취약성에서 참조하는 솔루션에서 파생된, 체인 내 대체 가능성이 가장 높은 솔루션. 체인에 둘 이상의 최고 대체가 있는 경우 값이 설정되지 않습니다. 수동으로 설정된 값은 후속 임포트에서 덮어쓸 수 있습니다. 취약한 항목에서 이 값을 수동으로 설정해야 합니다.
    정정 상태

    (취약성과 연관된 VI가 없는 경우 숨겨짐)
    지연 제외
    취약한 항목 이러한 취약성이 있는 활성 애플리케이션 취약한 항목의 수입니다. 이 개수에서 지연된 취약한 항목은 제외됩니다.
    총 VI 이러한 취약성이 있는 취약한 항목의 총 수. 이 개수에서 지연된 취약한 항목은 제외됩니다.
    정정된 VI 비율(%) 이러한 취약성이 있는 취약한 항목의 정정 완료율. 이 개수에서 지연된 취약한 항목은 제외됩니다.
    지연 포함
    취약한 항목 이러한 취약성이 있는 활성 취약한 항목의 수.
    총 VI 이러한 취약성이 있는 취약한 항목의 총 수.
    정정된 VI 비율(%) 이러한 취약성이 있는 취약한 항목의 정정 완료율.
    관련 링크
    v13.0 이전: 소프트웨어 취약성 임포트 강제 적용
    주:
    v13.0에서 제거됨
    		 (사용 안 함) NVD의 정보를 기반으로 제품 매핑을 ITSM 소프트웨어 자산 관리 다시 계산합니다. 취약한 소프트웨어 라이브러리를 업데이트합니다.
    상태 업데이트

    마지막 업데이트의 날짜 및 시간을 표시합니다.

    다음을 업데이트합니다.
    • 정정 작업 상태
    • 위험 점수 및 등급
    • 정정 상태 섹션의 활성 VI, 총 VI와 같은 메트릭
    관련 목록
    취약 항목

    (취약성과 연관된 VI가 없는 경우 숨겨짐)

    이러한 취약성과 연관된 취약한 항목입니다.
    취약성 참조 NVD에서 인용한 외부 소스의 취약성에 대한 정보입니다.
    익스플로잇 이 취약성과 관련된 익스플로잇입니다.
    솔루션

    (취약성과 연관된 VI가 없는 경우 숨겨짐)

    이 취약성과 관련된 모든 취약성 솔루션 관리 통합 솔루션입니다.
    버전 13.0 :

    약점

    		 CVE(Common Vulnerabilities and Exposures)와 관련된 CWE 약점 데이터를 임포트했습니다.
    버전 13.0 :

    취약한 소프트웨어

    (취약성과 연관된 VI가 없는 경우 숨겨짐)

    취약성과 관련된 CPE(공통 플랫폼 열거형) 데이터를 임포트했습니다.