취약점 대응 기한과 VEX
이 페이지는 CVSS 심각도별 대응 기한의 정본입니다. 프로세스·취약점 챕터에서 대응 기한을 다룰 때는 이 표를 기준으로 하고 본문은 여기로 링크합니다.
CVSS(Common Vulnerability Scoring System)는 취약점의 심각도를 0~10 사이 숫자로 표현합니다. 이 점수를 기준으로 대응 기한을 차등 적용해 한정된 리소스를 효율적으로 씁니다.
CVSS 심각도별 대응 기한
아래는 OpenChain KWG 가이드 기준선입니다.
| 심각도 | CVSS 점수 | 대응 기한 (KWG 기준선) | 조치 |
|---|---|---|---|
| Critical | 9.0~10.0 | 1주일 내 | 즉시 패치 또는 사용 중단 |
| High | 7.0~8.9 | 4주일 내 | 우선 패치 계획 수립 |
| Medium | 4.0~6.9 | 1개월 내 | 다음 릴리즈에 포함 |
| Low | 0.1~3.9 | 다음 릴리즈 | 백로그 등록 |
위 기한은 KWG 기준선입니다. 리스크 프로파일이 높은 조직(금융·인프라·외부 납품 등)은 더 엄격한 내부 SLA를 적용할 수 있습니다.
예: Critical 24시간 내 / High 1주일 내 — 즉시 패치 또는 서비스 중단 검토. 내부 SLA를 정했다면 output/process/vulnerability-response.md에 명시하고 그 기한을 우선 적용합니다.
VEX — 영향받지 않는 CVE를 걸러내기
SBOM의 컴포넌트에 알려진 CVE가 있어도, 실제 제품이 그 취약점에 영향받지 않는 경우가 많습니다(취약한 함수를 호출하지 않음, 해당 기능 미사용 등). 모든 CVE를 동일하게 다루면 대응 노이즈가 커집니다.
VEX(Vulnerability Exploitability eXchange) 는 각 CVE에 대해 "이 제품이 실제로 영향받는가"를 명시하는 표준 산출물입니다. 영향 없음을 근거와 함께 선언하면, 대응이 필요한 취약점에만 집중할 수 있습니다.
주요 상태값:
| 상태 | 의미 |
|---|---|
not_affected | 영향받지 않음 (근거 필수) — 대응 불필요 |
affected | 영향받음 — 대응 기한 내 조치 필요 |
fixed | 이미 수정된 버전 사용 중 |
under_investigation | 영향 여부 조사 중 |
VEX는 CycloneDX(vulnerabilities 필드)나 OpenVEX, CSAF 형식으로 표현하며, SBOM과 함께 공급망에 전달합니다.
이 기준은 ISO/IEC 18974 §4.3.2 (취약점 식별·평가·대응) 요구사항의 기반 지식입니다.
관련 문서
- 취약점 분석과 대응 챕터 가이드 — grype·OSV로 CVE를 스캔하고 이 기한으로 대응
- 오픈소스 프로세스 챕터 가이드 — 대응 기한을 사내 프로세스로 문서화
- 취약점 산출물 Best Practice — CVE 리포트·대응 계획 완성 예시