• 통합 계층
• GitLab 개발자 워크플로우란 무엇인가요?
• 온보드 하는 방법

보안 파트너 통합 - 온보딩 프로세스

Secure Stage와 제품을 통합하려면,

이 페이지는 GitLab이 보안 결과와 관련하여 사용자들이 따라야 할 개발자 워크플로우를 설명합니다. 이러한 가이드는 GitLab 사용자가 이미 익숙한 워크플로우에 맞는 통합을 구축할 수 있도록 활용되어야 합니다.

이 페이지는 또한 파트너로서 온보딩하기 위한 기술 작업과 관련된 자원을 제공합니다. 아래 단계는 통합을 완료하기 위해 수행해야 할 사항에 대한 개요이며, 이를 수행하는 방법에 대한 더 구체적인 자원으로 연결됩니다.

통합 계층

GitLab의 보안 제공 사항은 GitLab Ultimate 사용자와 DevSecOps 사용 사례를 위해 설계되었습니다. 모든 기능은 이러한 계층에 포함되어 있습니다. 여기에는 사용자가 선호하는 보안 도구를 GitLab에 쉽게 통합할 수 있도록 하는 API 및 표준 보고 프레임워크가 포함됩니다. 우리는 통합 파트너가 이러한 라이선스 계층에 작업을 집중할 것을 요청하여 상호 고객에게 가장 큰 가치를 제공할 수 있도록 합니다.

GitLab 개발자 워크플로우란 무엇인가요?

이 워크플로우는 GitLab 사용자가 제품과 상호작용하고 예상하는 방식을 나타냅니다. 사용자가 오늘날 GitLab을 어떻게 사용하는지 이해하면, GitLab에 자신의 제품과 결과를 통합할 최적의 위치를 선택할 수 있습니다.

• 개발자는 결과를 소비하거나 그들이 작업하고 있는 항목에 대한 피드백을 해결하기 위해 새로운 도구를 사용하지 않고 코드를 작성하고 싶어합니다. GitLab이라는 단일 도구 내에서 작업하는 것은 코드 및 프로젝트 완료에 집중하는 데 도움이 됩니다.

• 개발자는 Git 브랜치에 코드를 커밋합니다. 개발자는 이러한 변경 사항을 검토할 수 있는 GitLab 내에서 병합 요청(MR)을 생성합니다. MR은 코드에 대한 보안 검사를 포함하여 관련 작업을 실행하기 위해 GitLab 파이프라인을 실행하도록 트리거합니다.

• 파이프라인 작업은 다양한 목적을 제공합니다. 작업은 앱 보안, 기업 정책 또는 규정 준수를 위한 스캔을 수행할 수 있습니다. 완료되면 작업은 상태를 보고하고 결과로 작업 아티팩트를 생성합니다.

• 병합 요청 보안 위젯은 파이프라인의 보안 검사 결과를 표시하며 개발자는 이를 검토할 수 있습니다. 개발자는 결과의 요약 및 세부 버전을 모두 검토할 수 있습니다.

• 특정 정책(예: 병합 요청 승인)이 프로젝트에 적용될 경우, 개발자는 특정 발견 사항을 해결하거나 특정 인원 목록으로부터 승인을 받아야 합니다.

• 보안 대시보드 또한 개발자가 코드에서 해결해야 할 모든 취약점을 신속하게 확인할 수 있도록 결과를 표시합니다.

• 개발자가 취약점에 대한 세부 정보를 읽을 때, 그들은 다음 단계에 대한 추가 정보와 선택권이 제공됩니다:

  1. 문제 생성(확인된 발견): 우선 순위를 매기기 위해 새로운 문제를 생성합니다.

  2. 댓글 추가 및 취약점 해제: 발견 사항을 해제할 때, 사용자는 완화된 사항이나 취약점을 수용하거나 잘못된 긍정이라고 언급하는 댓글을 남길 수 있습니다.

  3. 자동 수정/병합 요청 생성: 취약점에 대한 수정을 제공할 수 있으며, 이는 사용자에게 추가 노력이 필요하지 않은 쉬운 해결책을 허용합니다. 가능한 경우 언제든지 제공되어야 합니다.

  4. 링크: 취약점은 사용자에게 취약점에 대한 더 많은 데이터를 얻을 외부 사이트나 출처에 링크할 수 있습니다.

온보드 하는 방법

이 섹션에서는 파트너로 온보드하고 Secure stage와의 통합을 완료하는 데 필요한 단계를 설명합니다.

1. 우리의 파트너십에 대해 읽어보세요.

2. 논의를 시작하기 위해 새로운 파트너 이슈 템플릿을 사용하여 이슈를 생성하세요.

3. 통합 개발을 시작하기 위해 테스트 계정을 가져옵니다. GitLab.com Subscription Sandbox 또는 EE Developer License를 요청할 수 있습니다.

4. 사용자가 자신만의 GitLab 파이프라인에 통합할 수 있는 파이프라인 작업 템플릿을 제공합니다.

5. 파이프라인 작업으로 보고서 아티팩트를 생성합니다.

6. GitLab이 성공적으로 귀하의 제품 결과를 GitLab의 나머지 결과와 함께 표시할 수 있도록 파이프라인 작업이 처리할 수 있는 보고서 아티팩트를 생성하도록 합니다.
   • 이 단계에 대한 자세한 기술 지침을 참조하세요.
   • 작업 보고서 아티팩트에 대해 더 알아보세요.
   • 작업 아티팩트에 대해 읽어보세요.
   • 귀하의 보고서 아티팩트는 우리가 지원하는 형식 중 하나여야 합니다. 더 많은 정보는 보고서에 대한 문서를 참조하세요.
     • SAST 출력에 대한 문서.
     • Dependency Scanning 보고서에 대한 문서.
     • Container Scanning 보고서에 대한 문서.
     • 만들어진 아티팩트를 정의하는 예제 보안 작업 정의를 참조하세요.
     • 새로운 유형의 스캔 또는 보고서가 필요한 경우, 이슈를 생성하세요하고 devops::secure 레이블을 추가하세요.
   • 작업이 완료되면 데이터는 다음에서 볼 수 있습니다:
     • Merge Request 보안 보고서 (MR 보안 보고서 데이터 흐름).
     • 작업 아티팩트 브라우징 중.
     • 보안 대시보드 (대시보드 데이터 흐름).
7. 선택 사항: 취약점으로 결과와 상호작용하는 방법 제공:
   • 사용자는 자신의 워크플로우 내에서 아티팩트의 발견 사항과 상호작용할 수 있습니다. 그들은 발견 사항을 해제하거나 수용하고 백로그 이슈를 생성할 수 있습니다.
   • 사용자 상호작용 없이 자동으로 이슈를 생성하려면 이슈 API를 사용하세요.
8. 선택 사항: 자동 수정 단계 제공:
   • 아티팩트에 remediations를 지정한 경우, 이는 우리의 수정 인터페이스를 통해 제안됩니다.
9. GitLab에 통합 시연:
   • 당신의 통합을 테스트하고 시연할 준비가 되었을 때, 연락하세요. 이 단계를 건너뛰면 지원되는 마케팅을 할 수 없습니다.
10. 귀하의 GitLab 통합에 대한 지원되는 마케팅을 시작합니다.
    • 필요한 경우 파트너 팀과 협력하여 시장 출시를 지원합니다.
    • 지원되는 마케팅의 예는 우리의 보안 파트너 페이지 목록에 ‘등재되는 것’, 블로그 포스트 작성, 공동 브랜드 웨비나 개최 또는 공동 브랜드 백서 제작을 포함할 수 있습니다.

우리는 이 과정의 일환으로 유용할 수 있는 비디오 재생 목록을 보유하고 있습니다. 이는 도구 통합과 관련된 다양한 주제를 다룹니다.

통합 작업이나 위 단계에서 문제가 발생하면, 우리와 더 논의하기 위해 이슈를 생성하세요.