• 시작하기 전에
• 테스트 프로젝트 생성
• Merge Request 승인 정책 추가
• Merge Request 승인 정책 테스트

튜토리얼: Merge Request 승인 정책 설정

이 튜토리얼은 Merge Request 승인 정책을 생성하고 구성하는 방법을 안내합니다. 이러한 정책은 스캔 결과를 기반으로 조치를 취할 수 있도록 설정할 수 있습니다. 이 튜토리얼에서는 Merge Request에 취약점이 감지될 경우 지정된 두 명의 사용자로부터 승인을 요구하는 정책을 설정합니다.

Merge Request 승인 정책을 설정하려면:

1. 테스트 프로젝트를 생성합니다.
2. Merge Request 승인 정책을 추가합니다.
3. Merge Request 승인 정책을 테스트합니다.

시작하기 전에

이 튜토리얼에 사용되는 네임스페이스는 다음 조건을 충족해야 합니다:

• 본인을 포함하여 최소 세 명의 사용자가 있어야 합니다. 다른 사용자가 두 명 이상 없는 경우 먼저 사용자를 생성해야 합니다. 자세한 내용은 사용자 생성을 참조하세요.

테스트 프로젝트 생성

1. 왼쪽 사이드바의 상단에서 생성() 및 새 프로젝트/리포지터리를 선택합니다.
2. 빈 프로젝트 생성을 선택합니다.
3. 필드를 완성합니다.
   • 프로젝트 이름: sast-scan-result-policy.
   • 정적 애플리케이션 보안 테스트(SAST) 활성화 확인란을 선택합니다.
4. 프로젝트 생성을 선택합니다.
5. 새로 생성된 프로젝트로 이동하고 보호된 브랜치를 생성합니다.

Merge Request 승인 정책 추가

다음으로, 테스트 프로젝트에 Merge Request 승인 정책을 추가합니다:

1. 왼쪽 사이드바에서 검색 또는 이동을 선택하고 sast-scan-result-policy 프로젝트를 찾습니다.
2. 보안 > 정책을 선택합니다.
3. 새 정책을 선택합니다.
4. Merge Request 승인 정책에서 정책 선택을 선택합니다.
5. 필드를 완성합니다.
   • 이름: sast-scan-result-policy
   • 정책 상태: 활성화됨

6. 다음 규칙을 추가합니다:

   만약 |SAST에서| 보안 스캔에서 |All severity levels| |All vulnerability states| 모든 보호된 브랜치를 대상으로 하는 개방된 Merge Request에서 |0|보다 많은 취약성이 감지됨
   

7. 조치를 다음과 같이 설정합니다:

   그런 다음 다음 승인자 중에서 | 2 |명의 승인이 필요합니다:
   

8. 두 명의 사용자를 선택합니다.

9. Merge Request과 함께 구성을 선택합니다.

   응용 프로그램은 정책과 연결된 새 프로젝트를 생성하고 정책을 정의하기 위한 Merge Request을 생성합니다.

10. Merge을 선택합니다.
11. 왼쪽 사이드바에서 검색 또는 이동을 선택하고 sast-scan-result-policy 프로젝트를 찾습니다.

12. 보안 > 정책을 선택합니다.

    이전 단계에서 추가된 정책 디렉터리을 확인할 수 있습니다.

Merge Request 승인 정책 테스트

수고하셨습니다. Merge Request 승인 정책을 생성했습니다. 이제 테스트를 위해 몇 가지 취약성을 생성하고 결과를 확인합니다:

1. 왼쪽 사이드바에서 검색 또는 이동을 선택하고 sast-scan-result-policy 프로젝트를 찾습니다.
2. 코드 > 리포지터리를 선택합니다.
3. 추가() 드롭다운 디렉터리에서 새 파일을 선택합니다.
4. 파일 이름 필드에 main.ts를 입력합니다.

5. 파일 내용에 다음을 복사합니다:

   // Non-literal require - tsr-detect-non-literal-require
   var lib: String = 'fs'
   require(lib)
      
   // Eval with variable - tsr-detect-eval-with-expression
   var myeval: String = 'console.log("Hello.");';
   eval(myeval);
      
   // Unsafe Regexp - tsr-detect-unsafe-regexp
   const regex: RegExp = /(x+x+)+y/;
      
   // Non-literal Regexp - tsr-detect-non-literal-regexp
   var myregexpText: String = "/(x+x+)+y/";
   var myregexp: RegExp = new RegExp(myregexpText);
   myregexp.test("(x+x+)+y");
      
   // Markup escaping disabled - tsr-detect-disable-mustache-escape
   var template: Object = new Object;
   template.escapeMarkup = false;
      
   // Detects HTML injections - tsr-detect-html-injection
   var element: Element =  document.getElementById("mydiv");
   var content: String = "mycontent"
   Element.innerHTML = content;
      
   // Timing attack - tsr-detect-possible-timing-attacks
   var userInput: String = "Jane";
   var auth: String = "Jane";
   if (userInput == auth) {
     console.log(userInput);
   }
   

6. 커밋 메시지 필드에 취약한 파일 추가를 입력합니다.
7. 대상 브랜치 필드에 test-branch를 입력합니다.
8. 변경 사항 커밋을 선택합니다. 새 Merge Request 양식이 열립니다.
9. Merge Request 생성을 선택합니다.
10. 새 Merge Request에서 Merge Request 생성을 선택합니다.

파이프라인이 완료될 때까지 기다립니다. 이는 몇 분이 소요될 수 있습니다.

Merge Request 보안 위젯이 보안 스캔이 하나의 잠재적인 취약성을 감지했음을 확인합니다. Merge Request은 정책에 따라 차단되어 승인을 기다리고 있습니다.

이제 Merge Request 승인 정책을 설정하고 사용하여 취약점을 검출하는 방법을 알게 되었습니다!