...
GitLab은 무단 액세스, 데이터 유출, 서비스 거부 등으로 이어질 수있는 보안 취약점에 대해 애플리케이션을 확인할 수 있습니다.
GitLab은 병합 요청에서 취약점을 보고하므로 병합하기 전에 수정할 수 있습니다.
보안 대시 보드 프로젝트대시보드 프로젝트, 파이프 라인 및 그룹에서 발견된 취약점에 대한 높은 수준의 보기를 제공합니다.
위협 모니터링 페이지는 애플리케이션 환경에 대한 런타임 보안 측정을 제공합니다. 제공된 정보를 통해 위험 분석 및 치료를 즉시 시작할 수 있습니다.
GitLab은 다음 도구를 사용하여 프로젝트에서 발견 된 알려진 취약점을 스캔하고 보고합니다.
안전한 스캔 도구 | 기술 |
|---|---|
알려진 취약점에 대해 Docker 컨테이너를 검사 | |
프로젝트의 종속성 및 알려진 취약점을 검사 | |
알려진 취약점에 대한 종속성을 분석 | |
모든 프로젝트 및 그룹의 취약성을 검사 | |
알려진 취약점에 대해 실행중인 웹 응용 프로그램을 분석 | |
알려진 취약점에 대한 소스 코드를 분석 |
컨테이너 스캔
GitLab CI / CD를 사용하는 경우 컨테이너에 대한 취약점 정적 분석을위한 두 가지 오픈 소스 도구 인 Clair 및 klar 를 사용하여 알려진 취약점에 대한 Docker 이미지 (또는 컨테이너)를 확인할 수 있습니다 .
기존 파일
gitlab-ci.yml에 CI 작업을 포함 시키거나 Auto DevOps에서 제공하는 자동 컨테이너 검색을 통해 컨테이너 검색을 활용할 수 있습니다 .GitLab은 컨테이너 검색 보고서를 확인하고 소스와 대상 분기 사이에서 발견 된 취약점을 비교하고 병합 요청에 대한 정보를 보여줍니다.
...
GitLab 설치의 템플릿으로 제공합니다.
Container-Scanning.gitlab-ci.yml11.9 이전의 GitLab 버전의 경우 해당 템플릿에 정의 된대로 작업을 복사하고 사용할 수 있습니다.
.gitlab-ci.yml파일에 다음을 추가
| Code Block |
|---|
include: - template: Container-Scanning.gitlab-ci.yml |
GitLab 11.9 이상의 경우, 컨테이너 검색을 사용하려면 다음을 수행해야 합니다.
container_scanningCI / CD 파이프 라인에서 작업을 작성작업을 작성합니다.이미 빌드 된 Docker 이미지를 프로젝트의 컨테이너 레지스트리 에서 가져와 취약성을 스캔스캔합니다.
결과는 나중에 다운로드하여 분석 할 수 있는 컨테이너 검색 보고서 아티팩트로 저장됩니다. 구현 저장되고 구현 제한으로 인해 항상 최신 컨테이너 검색 아티팩트를 사용할 수 있습니다. 무대 뒤에서 GitLab Klar 분석기가 사용되고 스캔을 실행합니다.
...
종속성 목록을 사용하면 프로젝트의 종속성 및 알려진 취약점을 포함하여 프로젝트의 종속성을 확인할 수 있습니다. 이를 확인하려면 프로젝트 사이드 바에서 보안 및 규정 준수> 종속성 목록 으로 Security & Compliance > Dependency List 로 이동
종속성 스캔 CI 작업이 프로젝트에 구성되야 합니다.
프로젝트는 Gemnasium에서 지원 하는 언어 및 패키지 관리자 중 하나 이상을 사용해야 합니다.
...