Secure Partner Integration - Onboarding Process
만약 귀하께서 귀사의 제품을 보안 단계와 통합하려면, 이 페이지는 귀사의 사용자들이 보안 결과에 관련하여 따를 개발자 워크플로우를 설명합니다. 이러한 지침은 사용자들이 이미 익숙한 GitLab 워크플로우에 맞게 통합을 구축할 수 있도록 사용되어야 합니다.
이 페이지는 또한 파트너로서 입사 과정에 관련된 기술 작업에 대한 리소스를 제공합니다. 아래 단계는 통합을 완료하기 위해 해야 할 작업들에 대한 상위 수준의 개요를 제공하며, 이를 수행하는 방법에 대한 자세한 리소스로 연결됩니다.
통합 계층
GitLab의 보안 오퍼링은 GitLab Ultimate 사용자 및 DevSecOps 사용 사례를 위해 설계되었습니다. 모든 기능은 해당 계층에 속합니다. 이에는 사용자들이 선호하는 보안 도구를 쉽게 GitLab로 통합할 수 있도록 필요한 API 및 표준 보고 프레임워크도 포함됩니다. 우리는 통합 파트너들에게 우리의 상호 고객들에게 최대의 가치를 제공할 수 있도록 그 라이선스 계층에 작업을 집중할 것을 요청합니다.
GitLab 개발자 워크플로우란?
이 워크플로우는 GitLab 사용자들이 우리 제품과 상호작용하고, 우리 제품이 기대되는 방식입니다. 오늘날 사용자들이 GitLab을 어떻게 사용하는지 이해하는 것은 자사 제품을 GitLab에 통합할 때 어디에 통합할 지 선택하는 데 도움이 됩니다.
- 개발자들은 새로운 도구를 사용하지 않고도 코드를 작성하고, 그 항목에 관한 결과물이나 피드백을 처리할 수 있기를 원합니다. 단일 도구인 GitLab 내에서 작업을 유지하는 것은 개발자들이 작업하고 있는 코드 및 프로젝트에 집중할 수 있도록 도와줍니다.
- 개발자들은 Git 브랜치에 코드를 커밋합니다. 그들은 이러한 변경 사항을 검토할 수 있는 Merge Request(MR)를 GitLab 내에서 만듭니다. MR은 코드에 대한 보안 검사를 포함하여 연결된 작업을 실행하는 GitLab 파이프라인을 트리거합니다.
- 파이프라인 작업은 다양한 목적으로 사용됩니다. 작업은 애플리케이션 보안, 기업 정책 또는 규정 준수를 위한 스캔을 수행하고 영향을 미칠 수 있습니다. 완료되면 작업은 상태를 보고하고 작업 아티팩트를 생성합니다.
- Merge Request 보안 위젯은 파이프라인의 보안 검사 결과를 표시하고 개발자들은 이를 검토할 수 있습니다. 개발자들은 결과의 요약 및 상세 버전을 검토할 수 있습니다.
- 특정 정책(예: Merge Request 승인)이 프로젝트에 적용된 경우, 개발자들은 특정한 발견을 해결하거나 특정 사람 디렉터리에서 승인을 받아야 합니다.
- 보안 대시보드는 코드에서 해결해야 하는 취약점을 신속하게 확인할 수 있도록 하는 결과도 표시합니다.
- 개발자가 취약점에 대한 자세한 내용을 읽을 때, 다음 단계에 대한 추가 정보 및 선택지가 제시됩니다:
- 이슈 생성(발견 확인): 우선 순위를 정하는 새로운 이슈를 만듭니다.
- 코멘트 추가 및 취약점 해제: 발견을 해제할 때 사용자들은 해제된 사항을 주장하거나 취약점을 수용하거나 취약점이 잘못되었다고 주장할 수 있습니다.
- 자동 수정/Merge Request 생성: 개발자들에게 추가적인 노력이 필요하지 않은 쉬운 해결책을 제공하여 취약점을 수정할 수 있습니다. 가능한 경우에는 항상 제공되어야 합니다.
- 링크: 취약점은 추가 데이터를 얻기 위해 외부 사이트나 소스로 연결할 수 있습니다.
입사 방법
이 섹션에서는 파트너로서 입사하고 보안 단계와의 통합을 완료하기 위해 수행해야 하는 단계를 설명합니다.
- 파트너십에 관해 읽어보세요.
- 새 파트너 이슈 템플릿을 사용하여 토론을 시작합니다.
- 통합 개발을 시작하려면 테스트 계정을 받으세요. GitLab.com Subscription Sandbox 또는 EE Developer License를 요청할 수 있습니다.
- 사용자들이 자체 GitLab 파이프라인에 통합할 수 있는 파이프라인 작업 템플릿을 제공하세요.
- 파이프라인 작업과 함께 보고서 아티팩트를 만드세요.
- 파이프라인 작업이 GitLab에서 귀사의 제품 결과물을 성공적으로 표시할 수 있도록 GitLab에서 처리할 수 있는 보고서 아티팩트를 생성하도록 파이프라인 작업을 확인하세요.
- 이 단계의 자세한 기술적 지침을 확인하세요.
- 작업 보고서 아티팩트에 대해 자세히 알아보세요.
- 작업 아티팩트에 대해 확인하세요.
- 귀사의 보고서 아티팩트는 현재 지원되는 형식 중 하나여야 합니다.
자세한 정보는 보고서에 대한 문서를 참조하세요.
- SAST 출력에 대한 문서.
- 의존성 스캐닝 보고서에 대한 문서.
- 컨테이너 스캐닝 보고서에 대한 문서.
- 작성된 아티팩트를 정의하는 예시 secure 작업 정의를 참조하세요.
- 새로운 종류의 스캔이나 보고서가 필요한 경우, 이슈를 생성하고
devops::secure
라벨을 추가하세요.
- 작업이 완료되면 데이터가 다음에서 볼 수 있습니다:
- 선택 사항: 취약점으로서 결과물과 상호작용하는 방법을 제공하세요:
- 사용자들은 자신의 워크플로우 내에서 여러분의 결과물로부터 발견을 대화할 수 있습니다. 발견을 해제하거나 수용하고 백로그 이슈를 생성할 수 있습니다.
- 사용자 상호작용 없이 자동으로 이슈를 생성하려면 이슈 API를 사용하세요.
- 선택 사항: 자동 수정 단계를 제공하세요:
- 만약 여러분의 결과물에서
remediations
를 지정했다면, 우리의 치료 인터페이스를 통해 제안됩니다.
- 만약 여러분의 결과물에서
- GitLab에 통합물을 데모하세요:
- 테스트를 완료하고 통합물을 데모하기 위해 준비되었을 때 연락을 취해주세요. 이 단계를 거치지 않으면 지원되는 마케팅을 수행할 수 없습니다.
- GitLab 통합물의 지원 마케팅을 시작하세요.
- 우리의 파트너 팀과 협력하여 적절한 지원을 받으세요.
- 지원되는 마케팅의 예시로는 보안 파트너 페이지에 나열되는 것, Unfiltered 블로그 글을 쓰는 것, 공동 주최 웨비나를 하는 것 또는 공동 주최 화이트페이퍼를 프로덕션하는 것이 있습니다.
이 프로세스의 일환으로 도움이 될 수 있는 비디오 재생 디렉터리이 있습니다. 이는 귀사의 도구를 통합하는 데 관련된 다양한 주제를 다룹니다.
통합이나 위의 단계를 진행하는 동안 문제가 발생하면 좀더 논의할 문제를 만듭니다.