API 보안

Tier: Ultimate Offering: GitLab.com, Self-managed, GitLab Dedicated

API 보안은 웹 애플리케이션 프로그래밍 인터페이스 (APIs)를 무단 액세스, 남용 및 공격으로부터 안전하게 보호하기 위해 취해지는 조치를 의미합니다. API는 현대 애플리케이션 개발의 중요한 구성 요소로, 애플리케이션이 서로 상호 작용하고 데이터를 교환할 수 있도록 합니다. 그러나 이로 인해 공격자에게 유혹을 주고 적절하게 보호되지 않을 경우 보안 위협에 취약해질 수 있습니다. 본 섹션에서는 귀하의 애플리케이션의 웹 API 보안을 보장하기 위해 사용할 수 있는 GitLab 기능에 대해 설명합니다. 논의되는 기능 중 일부는 웹 API에 특화되어 있고, 다른 것들은 웹 API 애플리케이션과 함께 사용되는 일반적인 솔루션입니다.

  • SAST는 응용 프로그램의 코드베이스를 분석하여 식별된 취약점을 확인합니다.
  • 의존성 스캐닝은 프로젝트의 타사 종속성을 알려진 취약점(예: CVE)을 찾기 위해 리뷰합니다.
  • 컨테이너 스캐닝은 컨테이너 이미지를 분석하여 알려진 OS 패키지 취약점 및 설치된 언어 종속성을 식별합니다.
  • API 탐색은 REST API를 포함하는 애플리케이션을 조사하고 해당 API에 대한 OpenAPI 명세를 직관적으로 결정합니다. OpenAPI 명세문은 다른 GitLab 보안 도구에서 사용됩니다.
  • API 보안 테스트 분석기는 웹 API의 동적 분석 보안 테스트를 수행합니다. 이는 응용 프로그램에서 OWASP Top 10을 포함한 다양한 보안 취약점을 식별할 수 있습니다.
  • API Fuzzing은 웹 API의 퍼증(Fuzz) 테스트를 수행합니다. Fuzz 테스트는 이전에 알려져 있지 않고 SQL Injection과 같은 고전적인 취약점 유형에 매핑되지 않는 응용 프로그램의 문제를 찾습니다.