API 보안

API 보안은 웹 API(Application Programming Interfaces)를 무단 접근, 남용 및 공격으로부터 안전하게 보호하는 조치를 가리킵니다. API는 현대 애플리케이션 개발의 중요한 구성요소로, 애플리케이션이 서로 상호 작용하고 데이터를 교환할 수 있게 합니다. 그러나 이로 인해 공격자에게 유혹을 주고 적절하게 보안하지 않으면 보안 위협을 받을 수 있습니다. 이 섹션에서는 응용 프로그램의 웹 API 보안을 보장하는 데 사용할 수 있는 GitLab 기능에 대해 설명합니다. 언급된 기능 중 일부는 웹 API에 특화되어 있고, 다른 것들은 웹 API 응용 프로그램과 함께 사용되는 일반적인 솔루션입니다.

• SAST는 애플리케이션의 코드베이스를 분석하여 식별된 취약점을 확인합니다.
• 의존성 스캔은 프로젝트의 타사 종속성을 알려진 취약점(예: CVE)을 위해 검토합니다.
• 컨테이너 스캔은 컨테이너 이미지를 분석하여 알려진 OS 패키지 취약점 및 설치된 언어 종속성을 식별합니다.
• API 발견은 REST API를 포함한 응용 프로그램을 조사하고 해당 API에 대한 OpenAPI 명세를 추론합니다. OpenAPI 명세서는 다른 GitLab 보안 도구에서 사용됩니다.
• DAST API은 웹 API의 동적 분석 보안 테스트를 수행합니다. 이를 통해 응용 프로그램에서 OWASP Top 10을 포함한 여러 보안 취약점을 식별할 수 있습니다.
• API Fuzzing은 웹 API의 Fuzz 테스트를 수행합니다. Fuzz 테스트는 이전에 알려지지 않았고 전통적인 취약점 유형(예: SQL Injection)으로 매핑되지 않는 응용 프로그램의 문제를 찾습니다.