• 시작하기 전에
• 테스트 프로젝트 만들기
• 병합 요청 승인 정책 추가
• 병합 요청 승인 정책 테스트

튜토리얼: 병합 요청 승인 정책 설정

이 튜토리얼에서는 병합 요청 승인 정책을 만들고 구성하는 방법을 안내합니다. 이러한 정책은 검사 결과를 기반으로 조치를 취하도록 설정할 수 있습니다. 예를 들어, 본 튜토리얼에서는 병합 요청에 취약점이 감지되면 지정된 두 명의 사용자로부터 승인을 요구하는 정책을 설정합니다.

병합 요청 승인 정책을 설정하려면:

1. 테스트 프로젝트 만들기.
2. 병합 요청 승인 정책 추가.
3. 병합 요청 승인 정책 테스트.

시작하기 전에

이 튜토리얼에 사용되는 네임스페이스는 다음과 같아야 합니다:

• 본인을 포함하여 세 명의 사용자 이상이 포함되어 있어야 합니다. 다른 사용자가 두 명 더 필요한 경우, 먼저 그들을 생성해야 합니다. 자세한 내용은 사용자 생성을 참조하세요.

테스트 프로젝트 만들기

1. 왼쪽 사이드바에서 상단에 있는 만들기 () 및 새 프로젝트/저장소를 선택합니다.
2. 빈 프로젝트 만들기를 선택합니다.
3. 필드를 작성합니다.
   • 프로젝트 이름: sast-scan-result-policy.
   • 정적 애플리케이션 보안 테스트 (SAST) 확인란을 선택합니다.
4. 프로젝트 만들기를 선택합니다.
5. 새로 만든 프로젝트로 이동하여 보호된 브랜치를 만듭니다.

병합 요청 승인 정책 추가

다음으로, 테스트 프로젝트에 병합 요청 승인 정책을 추가할 것입니다:

1. 왼쪽 사이드바에서 검색 또는 이동을 선택하고 sast-scan-result-policy 프로젝트를 찾습니다.
2. 보안 > 정책을 선택합니다.
3. 새 정책을 선택합니다.
4. 병합 요청 승인 정책에서 정책 선택을 선택합니다.
5. 필드를 작성합니다.
   • 이름: sast-scan-result-policy
   • 정책 상태: 활성화됨

6. 다음 규칙을 추가합니다:

   만일 |SAST|에서 |보안 스캔|이 |모든 보안 수준|의 |모든 취약점 상태|에서 |0|보다 많은 |SAST|의 |보안 스캔|을 열린 병합 요청에 대해 |모든 보호된 브랜치|로 찾으면
   

7. 동작을 다음으로 설정합니다:

   그 후 다음 승인자 중 | 2 | 명의 승인을 요구:
   

8. 사용자를 두 명 선택합니다.

9. 병합 요청으로 구성을 선택합니다.

   응용 프로그램은 정책과 관련된 새 프로젝트를 만들고 해당 정책을 정의하기 위해 병합 요청을 생성합니다.

10. 병합을 선택합니다.
11. 왼쪽 사이드바에서 검색 또는 이동을 선택하고 sast-scan-result-policy 프로젝트를 찾습니다.

12. 보안 > 정책을 선택합니다.

    이전 단계에서 추가된 정책 목록을 볼 수 있습니다.

병합 요청 승인 정책 테스트

수고하셨습니다. 병합 요청 승인 정책을 만들었습니다. 테스트하려면 몇 가지 취약점을 생성하고 결과를 확인하세요:

1. 왼쪽 사이드바에서 검색 또는 이동을 선택하고 sast-scan-result-policy 프로젝트를 찾습니다.
2. 코드 > 저장소를 선택합니다.
3. 추가 () 드롭다운 목록에서 새 파일을 선택합니다.
4. 파일 이름 필드에 main.ts를 입력합니다.

5. 파일 내용에 다음을 복사합니다:

   // Non-literal require - tsr-detect-non-literal-require
   var lib: String = 'fs'
   require(lib)
   
   // Eval with variable - tsr-detect-eval-with-expression
   var myeval: String = 'console.log("Hello.");';
   eval(myeval);
   
   // Unsafe Regexp - tsr-detect-unsafe-regexp
   const regex: RegExp = /(x+x+)+y/;
   
   // Non-literal Regexp - tsr-detect-non-literal-regexp
   var myregexpText: String = "/(x+x+)+y/";
   var myregexp: RegExp = new RegExp(myregexpText);
   myregexp.test("(x+x+)+y");
   
   // Markup escaping disabled - tsr-detect-disable-mustache-escape
   var template: Object = new Object;
   template.escapeMarkup = false;
   
   // Detects HTML injections - tsr-detect-html-injection
   var element: Element =  document.getElementById("mydiv");
   var content: String = "mycontent"
   Element.innerHTML = content;
   
   // Timing attack - tsr-detect-possible-timing-attacks
   var userInput: String = "Jane";
   var auth: String = "Jane";
   if (userInput == auth) {
     console.log(userInput);
   }
   

6. 커밋 메시지 필드에 취약한 파일 추가를 입력합니다.
7. 대상 브랜치 필드에 test-branch를 입력합니다.
8. 변경 사항 커밋을 선택합니다. 새 병합 요청 양식이 엽니다.
9. 병합 요청 만들기를 선택합니다.

10. 새 병합 요청에서 병합 요청 만들기를 선택합니다.

    파이프라인이 완료될 때까지 기다립니다. 이는 몇 분 정도 걸릴 수 있습니다.

병합 요청 보안 위젯은 보안 스캔에 의해 잠재적인 취약점이 감지되었음을 확인합니다. 병합 요청 승인 정책에 따라 병합 요청이 차단되어 승인을 대기 중입니다.

이제 취약점을 탐지하기 위해 병합 요청 승인 정책을 설정하고 사용하는 방법을 알게 되었습니다!