CVE
이 태그가 달린 문서 7건
의존성 CVE를 제대로 고치기: 스캔, 수정, 격리, 그리고 계속 감시
취약점 작업은 '고쳤다'고 끝나는 게 아니다. 완료 = 1) 스캔, 2) 수정, 3) 격리/인계, 4) 모니터링. 모니터링(매일 변화 탐지)이 갖춰지기 전까지는 미완이다 — 의존성은 내일 다시 취약해진다. 다음 배포가 덮어쓰는 완벽한 수정은 가치가 0이다. 소규모 팀은 두 규율로 안전을 지킨다: 자동 변화 탐지와 '로컬→push→배포'.
osv-scanner 설치와 사용법: 의존성에서 CVE 찾아내기
osv-scanner는 락파일과 컨테이너를 스캔해 의존성의 CVE를 무료로 드러냅니다. 설치·실행·CI 연동을 짚고, npm/pnpm audit·Dependabot과 언제 쓸지도 비교합니다. 본 사이트의 견해: 올바른 도구는 당신의 환경이 결정합니다 — 다중 생태계나 GitHub 비사용 프로젝트엔 osv-scanner를, 단일 npm 트리엔 번들된 pnpm audit을.
CVE란 — 취약점에 붙는 공용 '등번호'
CVE는 취약점에 부여되는 전 세계 공용 식별자입니다(예: CVE-2025-12345). CVE = 이름, CVSS = 심각도, KEV = 실제로 악용되는가. 모니터링의 기준점입니다. 손이 아니라 기계로 추적하세요.
RCE(원격 코드 실행)란 — 왜 최악의 취약점 부류인가
RCE는 공격자가 당신의 서버에서 임의의 코드를 실행하게 합니다 — 곧장 장악으로 이어지는 최악의 부류입니다. 피해 범위는 실행 중인 프로세스의 권한으로 결정됩니다. 핵심 방어는 빠른 패치, CVE 모니터링, 최소 권한입니다.
Equifax 유출 사고(2017) — 패치되지 않은 Apache Struts 결함이 1억 4,700만 명을 유출시킨 경위
원인은 이미 패치까지 나와 있던 알려진 CVE(CVSS 10.0)를 공개 시스템에 적용하지 않은 것이었습니다. 만료된 모니터링 인증서가 76일간 유출을 가렸습니다. 여러분의 환경에서는 자산 인벤토리, 패치 SLA, 머신 모니터링, 그리고 건강한 탐지가 핵심입니다.
Log4Shell(CVE-2021-44228) — 자신이 그 버그를 가졌는지조차 확인할 수 없어 전 세계가 두려워한 밤
Log4j의 CVSS 10.0 버그. 진짜 공포는 전이 의존성 — 자신도 모르게 쓰던 라이브러리를 통해 영향을 받는 것이었습니다. 수동적인 로깅 경로가 공격 벡터가 되었습니다. SBOM, 머신 모니터링, 빠른 패치, 그리고 후속 CVE 추적이 교훈입니다.
Next.js를 안전하게 운영하기: 공개된 CVE에 뒤처지지 않기
프레임워크 최대 위험은 방치된 공개 CVE다. 네 기둥으로 방어한다: 가동 중인 버전으로 판단, Dependabot/osv-scanner로 모니터링, 빠른 업데이트, 최소 권한 운영. 본 사이트의 견해: 인디 개발자는 지식이 아니라 운영의 연속성에서 진다 — 속도가 아니라 놓치지 않는 시스템으로 이긴다.