• 통합 계층
• GitLab 개발자 워크플로우란?
• 온보딩 방법

Secure Partner Integration - 온보딩 프로세스

당신의 제품을 Secure Stage와 통합하려면, 이 페이지는 보안 결과에 관련하여 GitLab이 의도하는 개발자 워크플로우를 설명합니다. 이것들은 사용자들이 이미 익숙한 워크플로우와 함께 통합할 수 있는 지침으로 사용되어야 합니다.

이 페이지는 또한 파트너로서의 온보딩과 관련된 기술 업무에 대한 자원을 제공합니다. 아래 단계들은 통합을 완료하기 위해 수행해야 하는 고수준의 작업을 보여주며, 이를 수행하는 방법에 대한 더 자세한 자원에 대한 링크도 제공합니다.

통합 계층

GitLab의 보안 제공 사항은 GitLab Ultimate 사용자 및 DevSecOps 사용 사례를 위해 개발되었습니다. 모든 기능은 해당 계층에 있습니다. 이에는 사용자가 선호하는 보안 도구를 GitLab에 쉽게 통합할 수 있도록 하는 필요한 API 및 표준 보고 프레임워크가 포함됩니다. 우리는 통합 파트너가 공동 고객에게 가장 큰 가치를 제공할 수 있도록 그 라이선스 계층에 중점을 둘 것을 요청합니다.

GitLab 개발자 워크플로우란?

이 워크플로우는 GitLab 사용자가 제품과 상호작용하고 기대하는 방식입니다. 오늘날 사용자들이 GitLab을 어떻게 사용하는지를 이해하면 여러분이 자신의 제품과 그 결과를 GitLab에 통합할 최적의 장소를 선택하는 데 도움이 됩니다.

• 개발자들은 새로운 도구를 사용하지 않고도 코드를 작성하고, 해당 항목에 대한 결과물을 사용하거나 피드백을 처리할 수 있기를 원합니다. 단일 도구인 GitLab 내에서 유지함으로써 집중해서 코드 작성 및 프로젝트 완료에 집중할 수 있습니다.
• 개발자는 Git 브랜치에 코드를 커밋합니다. 개발자는 코드 검토를 진행할 수 있는 GitLab 내에서 병합 요청(MR)을 생성합니다. MR은 코드에 대한 보안 확인을 포함한 GitLab 파이프라인을 실행하도록 합니다.
• 파이프라인 작업은 다양한 목적을 가지고 있습니다. 작업은 앱 보안, 기업 정책 또는 규정 준수를 위한 스캐닝을 수행할 수 있습니다. 완료되면 해당 작업은 상태에 대한 리포트를 돌려주고 작업 아티팩트를 생성합니다.
• 병합 요청 보안 위젯은 파이프라인의 보안 확인 결과를 표시하고, 개발자는 이를 검토할 수 있습니다. 개발자는 결과의 개요 및 상세 버전을 모두 검토할 수 있습니다.
• 특정 정책(예: 병합 요청 승인)이 프로젝트에 적용되어 있는 경우, 개발자는 특정 발견 사항을 해결하거나 특정 명단의 사람들의 승인을 받아야 합니다.
• 보안 대시보드는 코드에서 해결해야 하는 모든 취약성을 빠르게 확인할 수 있도록 보여줍니다.
• 개발자가 취약성에 대한 자세한 내용을 읽을 때, 그들은 추가 정보와 다음 단계에 대한 선택지를 제시받습니다:
  1. 이슈 생성(발견 확인): 우선 순위를 정하는 새로운 이슈를 생성합니다.
  2. 코멘트 추가 및 취약성 해결 거부: 사용자가 해결 사항을 알리거나, 취약성을 수락하거나, 취약성이 잘못 참작되었음을 언급할 수 있습니다.
  3. 자동 복구 / 병합 요청 생성: 취약점에 대한 수정이 제공되어, 사용자로부터 추가적인 노력이 필요하지 않은 쉬운 해결책을 제공할 수 있습니다. 가능한 경우 제공되어야 합니다.
  4. 링크: 취약성은 사용자가 취약성에 대한 추가 데이터를 얻을 수 있는 외부 사이트 또는 소스에 링크될 수 있습니다.

온보딩 방법

이 섹션에서는 파트너로서의 온보딩 및 Secure stage와의 통합을 완료하기 위해 완료해야 하는 단계를 설명합니다.

1. 파트너십에 대해 읽어보세요.
2. 파트너용 요청 템플릿을 이용하여 토론을 시작하기 위해 새로운 파트너 이슈를 생성하세요.
3. 통합 개발을 시작하려면 테스트 계정을 받으세요. GitLab.com Subscription Sandbox 또는 EE Developer License를 요청할 수 있습니다.
4. 사용자가 자신들의 GitLab 파이프라인에 통합할 수 있는 파이프라인 작업 템플릿을 제공하세요.
5. 파이프라인 작업과 함께 리포트 아티팩트를 생성하세요.
6. 파이프라인 작업이 GitLab과 함께 자신들의 제품 결과물을 성공적으로 표시할 수 있도록 처리할 수 있는 리포트 아티팩트를 생성하세요.
   • 이 단계에 대한 자세한 기술적인 지침을 참조하세요.
   • 작업 리포트 아티팩트에 대해 더 읽어보세요.
   • 작업 아티팩트에 대해 더 읽어보세요.
   • 여러분의 리포트 아티팩트는 우리가 지원하는 형식 중 하나여야 합니다. 자세한 내용은 리포트 문서를 참조하세요.
     • SAST 출력에 대한 문서.
     • 의존성 스캐닝 리포트에 대한 문서.
     • 컨테이너 스캐닝 리포트에 대한 문서.
     • 생성되는 아티팩트를 정의하는 예시 안전 작업 정의를 참조하세요.
     • 새로운 스캔 또는 리포트 유형이 필요한 경우, 이슈를 생성하고 devops::secure 라벨을 추가하세요.
   • 작업이 완료되면 데이터는 다음 위치에서 확인할 수 있습니다:
     • 병합 요청 보안 보고서 (병합 요청 보안 보고서 데이터 흐름).
     • 작업 아티팩트를 검색하는 동안.
     • 보안 대시보드에서 (대시보드 데이터 흐름).
7. 선택 사항: 취약점으로서 결과물을 상호작용할 수 있는 방법을 제공하세요:
   • 사용자들은 결과물을 통합하고 워크플로우 내에서 확인하고자 하는 것들과 상호작용할 수 있습니다. 사용자들은 결과를 해결할 수 있도록 하거나, 결과를 수락하고 백로그 이슈를 생성할 수 있습니다.
   • 사용자 상호작용 없이 자동으로 이슈를 생성하려면 이슈 API를 사용하세요.
8. 선택 사항: 자동 복구 단계를 제공하세요:
   • 결과물에서 복구를 지정한 경우, 이는 우리의 복구 인터페이스를 통해 제안됩니다.
9. GitLab에 통합을 데모하세요:
   • 테스트한 후 통합을 데모할 준비가 되면, 연락해서 알려주세요. 이 단계를 건너뛴 경우에는 지원하는 마케팅을 할 수 없습니다.
10. GitLab 통합의 지원되는 마케팅을 시작하세요.
    • 적절한 경우 저희와 함께 이동 시장을 지원하기 위해 당사의 파트너 팀과 협력하세요.
    • 지원되는 마케팅의 예로는 당사의 보안 파트너 페이지에 등재되는 것, 블로그 글 작성하거나, 공동 브랜드의 웨비나를 개최하거나, 공동 브랜드 화이트 페이퍼를 작성하는 것 등을 들 수 있습니다.

이 프로세스의 일환으로 도움이 될 수 있는 비디오 재생 목록이 있습니다. 이것은 자신의 도구를 통합하기 위한 여러 주제를 다루고 있습니다.

통합하거나 위 단계를 진행하는 동안 이슈가 발생하는 경우, 이를 논의하기 위해 이슈를 생성해 주세요.