• 통합 계층
• GitLab 개발자 워크플로우란?
• 온보딩 방법

Secure Partner Integration - 온보딩 프로세스

당신의 제품을 Secure Stage와 통합하려면, 이 페이지에서는 GitLab이 보안 결과에 관한 사용자의 개발자 워크플로우를 설명합니다. 이는 사용자가 이미 익숙한 GitLab의 워크플로우에 속하도록 통합을 구축할 수 있도록 가이드 역할을 합니다.

또한 이 페이지는 파트너로서 온보딩과 관련된 기술적 작업에 대한 자원을 제공합니다. 아래 단계는 통합을 완료하기 위해 수행해야 하는 주요 사항들을 간략히 보여주며, 이에 대한 자세한 자원으로 연결됩니다.

통합 계층

GitLab의 보안 오퍼링은 GitLab Ultimate 사용자 및 DevSecOps 사용 사례를 위해 설계되었습니다. 모든 기능들이 해당 계층에 포함됩니다. 이에는 사용자가 원하는 보안 도구를 GitLab로 쉽게 통합할 수 있도록 필요한 API 및 표준 보고 프레임워크가 포함됩니다. 우리는 통합 파트너들로 하여금 우리의 상호 고객에게 가장 큰 가치를 제공할 수 있도록 이들의 작업을 해당 라이선스 계층에 집중할 것을 요청합니다.

GitLab 개발자 워크플로우란?

이 워크플로우는 GitLab 사용자가 제품과 상호 작용하고 기대하는 방식입니다. 사용자가 GitLab을 어떻게 사용하는지를 이해하면 자신의 제품 및 결과를 GitLab에 어디에 통합할지 선택할 수 있습니다.

• 개발자들은 새로운 도구를 사용하지 않고 코드를 작성하고, 그 항목에 대한 결과물을 사용하거나 피드백을 주고받기를 원합니다. 하나의 도구인 GitLab 내부에 머무는 것은 개발자들이 코드 및 프로젝트 작업에 집중할 수 있도록 돕습니다.
• 개발자들은 Git 브랜치에 코드를 커밋합니다. 개발자는 GitLab 내부에서 해당 변경 사항을 검토할 수 있는 Merge Request(MR)를 생성합니다. MR은 GitLab 파이프라인을 트리거하여 코드에 대한 보안 검사를 비롯한 연관된 작업을 실행합니다.
• 파이프라인 작업은 다양한 목적을 제공합니다. 작업은 애플리케이션 보안, 기업 정책 또는 규정 준수를 위한 스캔을 할 수 있으며, 완료되면 작업은 상태에 대한 보고를 반환하고 작업 결과물을 생성합니다.
• Merge Request 보안 위젯은 파이프라인의 보안 검사 결과를 표시하고, 개발자는 해당 결과를 검토할 수 있습니다. 개발자는 결과의 요약 및 세부 버전을 검토할 수 있습니다.
• 프로젝트에 특정 정책(예: Merge Request 승인)이 있는 경우, 개발자들은 특정한 발견을 해결하거나 특정한 사람 디렉터리에서 승인을 받아야 합니다.
• 보안 대시보드는 코드에서 해결해야 할 취약점을 빠르게 확인할 수 있도록 개발자들이 사용할 수 있는 결과를 표시합니다.
• 개발자가 취약점에 대한 자세한 정보를 읽을 때, 추가 정보와 다음 단계에 대한 선택지가 제시됩니다:
  1. 이슈 생성(결과 확인): 우선순위를 결정하는 새로운 이슈를 생성합니다.
  2. 댓글 추가 및 취약점 해제: 발견을 해제할 때, 사용자들은 완화된 항목이나 취약점을 수용하거나 취약점이 잘못된 경우를 언급할 수 있습니다.
  3. 자동 복구/Merge Request 생성: 취약점에 대한 수정 사항을 제안하여 사용자로부터 추가적인 노력이 필요 없는 간편한 해결책을 제공할 수 있습니다. 가능한 경우 항상 제공해야 합니다.
  4. 링크: 취약점은 사용자들이 취약점 주변의 추가 데이터를 얻을 수 있는 외부 사이트나 소스로 연결될 수 있습니다.

온보딩 방법

이 섹션에서는 파트너로서 온보딩하고 Secure 단계와의 통합을 완료하기 위해 수행해야 하는 단계에 대해 설명합니다.

1. 파트너십에 대해 읽어보세요.
2. 새로운 파트너 이슈 템플릿을 사용하여 이슈를 생성하여 토론을 시작하세요.
3. 통합 개발을 시작하기 위해 테스트 계정을 받으세요. GitLab.com Subscription Sandbox 또는 EE Developer License를 요청할 수 있습니다.
4. 사용자가 자신의 GitLab 파이프라인에 통합할 수 있는 파이프라인 작업 템플릿을 제공하세요.
5. 파이프라인 작업으로 보고서 결과물을 생성하세요.
6. 파이프라인 작업이 GitLab과의 통합을 성공적으로 표시할 수 있도록 GitLab이 처리할 수 있는 보고서 결과물을 생성하십시오.
   • 이 단계에 대한 자세한 기술적 지침을 참조하세요.
   • 작업 보고서 결과물에 대해 더 읽어보세요.
   • 작업 결과물에 대해 읽어보세요.
   • 보고서 결과물은 현재 지원되는 형식 중 하나여야 합니다. 자세한 정보는 보고서에 대한 문서를 참조하세요.
     • SAST 출력에 대한 문서.
     • 의존성 스캐닝 보고서에 대한 문서.
     • 컨테이너 스캐닝 보고서에 대한 문서.
     • 작성된 결과물을 정의하는 예시 secure 작업 정의를 참조하세요.
     • 새로운 종류의 스캔 또는 보고서가 필요한 경우, 이슈를 생성하고 devops::secure 라벨을 추가하세요.
   • 작업이 완료되면 데이터는 다음에서 볼 수 있습니다:
     • Merge Request 보안 보고서 (MR 보안 보고서 데이터 흐름).
     • 작업 결과물을 찾아갈 때.
     • 보안 대시보드 (대시보드 데이터 흐름).
7. 선택 사항: 취약점으로서 결과물과 상호 작용하기 위한 방법을 제공하세요:
   • 사용자들은 자신의 워크플로우 내에서 여러분의 결과물에서 찾은 사항과 상호 작용할 수 있습니다. 사용자들은 결과를 해결하거나 수용하고 백로그 이슈를 생성할 수 있습니다.
   • 사용자 상호 작용 없이 자동으로 이슈를 생성하려면 이슈 API를 사용하세요.
8. 선택 사항: 자동 복구 단계를 제공하세요:
   • 결과물에서 remediations를 지정하면, 이를 통해 복구를 제안할 수 있습니다.
9. GitLab에 통합을 데모하세요:
   • 테스트를 거쳐 통합 준비가 완료되면, 연락하세요. 이 단계를 건너뛰면 지원되는 마케팅을 진행할 수 없습니다.
10. GitLab 통합 지원 마케팅을 시작하세요.
    • 파트너 팀과 협력하여 적절한 품목에 대한 공급을 지원하세요.
    • 지원되는 마케팅의 예로써, 보안 파트너 페이지에 나열되는 것, Unfiltered 블로그 게시물 게시, 공동 주최 웨비나 진행 또는 공동 주최 화이트 페이퍼 작성 등이 있을 수 있습니다.

이 프로세스의 일부로 도움이 될 수 있는 비디오 플레이리스트가 있습니다. 이 비디오는 여러분의 도구를 통합하는 데 관련된 다양한 주제를 다룹니다.

통합하는 동안 문제가 발생하거나 위 단계를 거치는 것에 문제가 있는 경우, 문의를 하기 위해 이슈를 만드세요.