GitLab의 취약점 보고서는 종종 환경의 특정 사항을 반영하지 않는 일반적인 CVSS 점수와 함께 수많은 결과를 제시합니다. 이는 초기 심각도가 실제 위험을 나타내지 않기 때문에 비효율적인 수동 분류로 이어집니다. GitLab은 정의된 기준에 따라 심각도 조정을 자동화하기 위해 심각도 재정의 정책을 도입합니다. 이러한 정책은 규칙을 사용하여 CVE, 파일 경로 및 CWE와 같은 요소를 기반으로 심각도 수준(설정, 증가 또는 감소)을 수정합니다. 예로는 내부 서비스의 취약점 심각도를 낮추거나 프로덕션 코드의 주입 취약점 심각도를 높이는 것이 있습니다. 다른 사용 사례로는 스캐너 전반에 걸쳐 심각도를 정규화하고 CISA의 KEV와 같은 위협 인텔리전스와 일치시키는 것이 있습니다. 이러한 정책은 그룹 수준에서 적용하여 많은 프로젝트에 걸쳐 일관된 위험 모델을 유지할 수 있습니다. 이러한 정책을 적용하면 취약점 보고서가 보다 정확한 환경 위험을 반영하도록 보장합니다. 수동 재정의는 항상 정책 작업을 우선하며, 모든 변경 사항은 감사 목적으로 기록됩니다. 사용자들은 취약점 관리 프로세스를 개선하기 위해 이러한 정책을 구현하는 것이 좋습니다.