• 통합 계층
• GitLab 개발자 워크플로우란?
• 온보딩 방법

Secure Partner Integration - Onboarding Process

GitLab의 Secure Stage와 제품을 통합하려는 경우, 이 페이지는 보안 결과에 관한 개발자 워크플로우를 GitLab이 의도하는 바를 설명합니다. 이러한 지침은 GitLab 사용자가 이미 익숙한 워크플로우에 통합할 수 있는 제품을 개발할 수 있도록 해야 합니다.

이 페이지는 또한 파트너로서의 온보딩과 관련된 기술 작업에 대한 리소스를 제공합니다. 아래 단계는 통합을 완료하기 위해 수행해야 하는 주요 작업을 전체적으로 보여주며, 자세한 방법에 대한 자원에 대한 링크를 제공합니다.

통합 계층

GitLab의 보안 오퍼링은 GitLab Ultimate 사용자와 DevSecOps 사용 사례를 위해 설계되었습니다. 모든 기능은 이러한 계층에 포함됩니다. 이에는 사용자가 선호하는 보안 도구를 GitLab로 쉽게 통합할 수 있도록 하는 데 필요한 API 및 표준 보고 프레임워크가 포함됩니다. 이에 따라 상호 고객에게 최대의 가치를 제공할 수 있도록 우리의 통합 파트너들이 해당 라이선스 계층에 집중하도록 요청합니다.

GitLab 개발자 워크플로우란?

이 워크플로우는 GitLab 사용자가 제품과 상호 작용하고 기대하는 방식입니다. 오늘날의 사용자들이 GitLab을 어떻게 사용하는지 이해하는 것은 귀하의 제품 및 결과물을 GitLab에 어디에 통합해야 하는지를 선택하는 데 도움이 됩니다.

• 개발자들은 새로운 도구를 사용하지 않고 코드를 작성하고 결과물을 사용하거나 해당 항목에 대한 피드백을 주고받을 수 있는 장소로 제한하고 싶어합니다. 단일 도구인 GitLab 내에서 작업을 진행함으로써 그들은 코드 및 프로젝트에 집중할 수 있습니다.
• 개발자들은 Git 브랜치에 코드를 커밋합니다. 개발자는 이러한 변경 사항이 검토될 수 있는 병합 요청(MR)를 생성합니다. MR은 GitLab 내에서 파이프라인을 트리거하여 코드에 대한 보안 검사를 포함한 작업을 실행합니다.
• 파이프라인 작업은 다양한 목적을 가지고 있습니다. 작업은 애플리케이션 보안, 기업 정책 또는 규정 준수를 위한 스캔을 수행할 수 있습니다. 작업이 완료되면 해당 작업의 상태를 보고하고 작업 아티팩트를 생성합니다.
• 병합 요청 보안 위젯은 파이프라인의 보안 검사 결과를 표시하며, 개발자는 이를 검토할 수 있습니다. 개발자는 결과의 요약 및 상세 버전을 모두 검토할 수 있습니다.
• 만약 프로젝트에 특정 정책(예: 병합 요청 승인)이 있다면, 개발자는 특정 발견을 해결하거나 특정인 목록에서 승인을 받아야 합니다.
• 보안 대시보드는 코드에서 해결해야 할 모든 취약점을 신속하게 확인할 수 있는 결과를 보여줍니다.
• 개발자가 취약점에 대한 자세한 정보를 찾아볼 때, 그들은 추가 정보와 다음 단계에 대한 선택지를 제공받습니다:
  1. 이슈 생성 (발견 확인): 우선순위를 매기기 위해 새로운 이슈를 생성합니다.
  2. 코멘트 추가 및 취약점 닫기: 발견을 닫을 때 사용자는 완화된 항목, 취약점을 수용하는 항목, 또는 취약점이 잘못된 경우를 알리기 위해 코멘트를 추가할 수 있습니다.
  3. 자동 복구 / 병합 요청 생성: 취약점에 대한 수정 사항을 제공하여 사용자의 추가 노력이 필요하지 않도록 할 수 있습니다. 가능한 경우 항상 이를 제공해야 합니다.
  4. 링크: 취약점은 사용자가 취약점 주변의 더 많은 데이터를 얻을 수 있도록 외부 사이트 또는 소스에 연결될 수 있습니다.

온보딩 방법

이 섹션은 파트너로서의 온보딩 및 Secure stage와의 통합을 완료하기 위해 수행해야 하는 단계를 설명합니다.

1. 파트너십에 대해 읽어보세요.
2. 논의를 시작하기 위해 새 파트너 이슈 템플릿을 사용하여 이슈를 생성합니다.
3. 통합 개발을 시작하기 위해 테스트 계정을 받으세요. GitLab.com Subscription Sandbox 또는 EE Developer License를 요청할 수 있습니다.
4. 사용자가 자신들의 GitLab 파이프라인에 통합할 수 있는 파이프라인 작업 템플릿을 제공하세요.
5. 파이프라인 작업과 함께 보고서 아티팩트를 생성하세요.
6. 귀하의 파이프라인 작업이 GitLab과 나머지 부분에서 귀사의 제품 결과를 표시할 수 있도록 처리할 수 있는 보고서 아티팩트를 생성하세요.
   • 이 단계에 대한 자세한 기술적인 지침을 확인하세요.
   • 작업 보고서 아티팩트에 대해 자세히 알아보세요.
   • 작업 아티팩트에 대해 알아보세요.
   • 보고서 아티팩트는 현재 지원되는 형식 중 하나여야 합니다. 자세한 정보는 보고서 문서를 참조하세요.
     • SAST 출력에 대한 문서
     • 의존성 스캐닝 보고서에 대한 문서
     • 컨테이너 스캐닝 보고서에 대한 문서
     • 아티팩트를 생성하는 예시 보안 작업 정의를 참조하세요.
     • 새로운 종류의 스캔 또는 보고서가 필요한 경우, 이슈를 생성하여 devops::secure 레이블을 추가하세요.
   • 작업이 완료되면 데이터가 표시됩니다:
     • 병합 요청 보안 보고서 (MR 보안 보고서 데이터 흐름)
     • 작업 아티팩트를 탐색할 때
     • 보안 대시보드 (대시보드 데이터 흐름)
7. 선택 사항: 취약점으로 결과물과 상호 작용할 수 있는 방법을 제공하세요:
   • 사용자는 결과물로부터 나온 발견물과 상호 작용할 수 있습니다. 발견을 해결하거나 수용하고 백로그 이슈를 만들 수 있습니다.
   • 사용자 상호 작용 없이 자동으로 이슈를 생성하려면 이슈 API를 사용하세요.
8. 선택 사항: 자동 복구 단계를 제공하세요:
   • 만약 결과물에 remediations를 지정했다면, 이는 복구를 통해 제안됩니다.
9. GitLab에 통합을 데모하세요:
   • 테스트를 완료하고 통합을 데모하기 위해 준비되었다면, 저희에게 연락하세요. 이 단계를 건너뛸 경우 지원되는 마케팅을 할 수 없습니다.
10. GitLab 통합의 지원되는 마케팅을 시작하세요.
    • 우리의 파트너 팀과 협력하여 적정하게 마케팅을 지원하세요.
    • 지원되는 마케팅 예시로는 보안 파트너 페이지에 나열되는 것, Unfiltered 블로그 게시물, 공동 주최하는 웨비나, 또는 공동 주최하는 백서 등이 있습니다.

이 프로세스의 일환으로 유용할 수 있는 비디오 재생 목록이 있습니다. 이는 귀하의 도구와 관련된 다양한 주제를 다루고 있습니다.

통합 작업이나 위의 단계를 진행하는 동안 문제가 발생했다면, 더 자세히 논의하기 위해 이슈를 생성하세요.