API 보안
Tier: Ultimate
Offering: GitLab.com, Self-Managed, GitLab Dedicated
API 보안이란 웹 응용 프로그램 프로그래밍 인터페이스 (API)를 무단 액세스, 오용 및 공격으로부터 안전하게 보호하는 조치를 말합니다. API는 현대 애플리케이션 개발의 중요한 컴포넌트로, 애플리케이션이 서로 상호 작용하고 데이터를 교환할 수 있게 합니다. 그러나 이는 공격자들에게 유혹적이며 적절하게 보호되지 않은 경우 보안 위협에 취약해질 수 있습니다. 이 섹션에서는 귀하의 응용 프로그램의 웹 API 보안을 보장하는 데 사용할 수 있는 GitLab 기능에 대해 논의합니다. 논의된 기능 중 일부는 웹 API에 특화되어 있으며, 다른 일부는 웹 API 응용프로그램에서도 사용되는 보다 일반적인 솔루션입니다.
- SAST는 애플리케이션의 코드베이스를 분석하여 식별된 취약점을 식별합니다.
- 의존성 스캐닝은 프로젝트의 서드 파티 의존성을 알려진 취약점(예: CVE)에 대해 검토합니다.
- 컨테이너 스캐닝은 컨테이너 이미지를 분석하여 알려진 OS 패키지 취약점과 설치된 언어 의존성을 식별합니다.
- API Discovery는 REST API를 포함하는 응용 프로그램을 검토하고 해당 API에 대한 OpenAPI 사양을 추론합니다. OpenAPI 사양 문서는 다른 GitLab 보안 도구에서 사용됩니다.
- DAST API는 웹 API의 동적 분석 보안 테스트를 수행합니다. 이를 통해 OWASP Top 10을 포함한 응용 프로그램의 다양한 보안 취약점을 식별할 수 있습니다.
- API Fuzzing은 웹 API의 퍼증 테스트를 수행합니다. 퍼징 테스트는 이전에 알려지지 않았던 애플리케이션의 문제 및 SQL Injection과 같은 전통적인 취약점 유형과 매핑되지 않는 문제를 찾습니다.