챕터 05-3 — 취약점 분석
현재 위치: 5-3단계 - 취약점 분석 (5.3/7단계)
이 챕터의 목표
SBOM을 기반으로 알려진 CVE 취약점을 스캔하고, CVSS 점수로 심각도를 평가하며, 대응 우선순위와 패치 계획을 수립한다.
Dependency Track을 사용하는 방법과, 이를 사용하지 않고 OSV API로 대안적으로 진행하는 방법 모두 안내한다.
충족되는 체크리스트 항목
| 항목ID | 요구사항 | ISO/IEC 5230 | ISO/IEC 18974 |
|---|---|---|---|
| G3S.1 | 알려진 취약점 식별 (CVE 스캔) | — | 4.3.2 |
| G3S.2 | 취약점 추적 및 상태 관리 | — | 4.3.2 |
| G3S.3 | CVE 위험 점수 평가 (CVSS) | — | 4.3.2 |
| G3S.4 | 취약점 대응 및 패치 절차 | — | 4.3.2 |
이 단계는 ISO/IEC 18974 §4.3.2 요구사항을 충족합니다.
전제 조건
output/sbom/*.cdx.json완료 (챕터 05-1)- Docker Desktop 실행 중 (Dependency Track 사용 시)
완료 기준
-
output/vulnerability/cve-report.md생성됨 -
output/vulnerability/remediation-plan.md생성됨 - Critical/High 취약점 대응 계획 포함됨
agent 실행 안내
cd agents/05-vulnerability-analyst
claude
agent가 SBOM 파일을 분석하고 CVE 조회 후 리포트를 생성한다.
Dependency Track 실행 (선택)
# Dependency Track Docker Compose 실행
cd agents/05-vulnerability-analyst
docker compose up -d
# 브라우저에서 접속
open http://localhost:8080
# 기본 계정: admin / admin
OSV API 대안 (Dependency Track 없이도 가능)
Dependency Track 없이도 OSV.dev API로 취약점을 조회할 수 있다. agent가 자동으로 OSV API를 활용하여 SBOM의 컴포넌트를 스캔한다.
# OSV API 직접 조회 예시
curl -X POST "https://api.osv.dev/v1/query" \
-H "Content-Type: application/json" \
-d '{"package": {"name": "log4j-core", "ecosystem": "Maven"}, "version": "2.14.1"}'
셀프스터디 경로
셀프스터디 모드 (약 45분~1시간)
Dependency Track 실행 시 최초 시작에 5분 정도 소요됩니다.
docs/05-tools/vulnerability/index.md읽기- (선택) Dependency Track 실행
cd agents/05-vulnerability-analyst && claude실행output/vulnerability/산출물 확인
자주 발생하는 문제
Q: Dependency Track 접속이 안 돼요. A: 최초 시작 시 데이터베이스 초기화에 3-5분 소요. 잠시 기다린 후 재시도.
Q: 취약점이 너무 많이 나와요. 다 해결해야 하나요? A: Critical → High → Medium 순으로 우선순위를 정해 단계적으로 해결한다. Low 취약점은 다음 릴리즈 시 처리해도 된다.
Q: CVE가 없으면 좋은 건가요? A: 아직 발견되지 않은 취약점이 있을 수 있다. CVE가 없어도 지속적 모니터링은 필요하다.
다음 단계
완료 후:
cd agents/06-training-manager
claude
또는 docs/06-training/ 으로 이동.