• 성능 문제 진단
  • 애플리케이션에 전체 테스트 속도에 영향을 미치는 느린 작업이 포함되어 있음(> 1/2 초)
• 성능 문제 해결
  • 더 큰 러너 사용
  • 느린 작업 제외
  • 테스트를 여러 작업으로 나누기
  • 기능 브랜치에서 제외된 작업, 기본 브랜치에서는 제외되지 않음

성능 조정 및 테스트 속도

API 보안 테스트와 같은 동적 분석 테스트를 수행하는 보안 도구는 실행 중인 애플리케이션의 인스턴스로 요청을 보내 테스트를 수행합니다. 요청은 애플리케이션에 존재할 수 있는 특정 취약점을 테스트하기 위해 설계되었습니다. 동적 분석 테스트의 속도는 다음에 따라 달라집니다:

• 도구가 애플리케이션에 보낼 수 있는 요청 수(per second)
• 애플리케이션이 요청에 응답하는 속도
• 애플리케이션을 테스트하기 위해 전송해야 하는 요청 수
  • API가 구성된 작업 수
  • 각 작업에 포함된 필드 수(예: JSON 본문, 헤더, 쿼리 문자열, 쿠키 등)

이 성능 가이드의 조언을 따랐음에도 불구하고 API 보안 테스트 작업이 예상보다 더 오래 걸린다면, 지원팀에 추가 지원을 요청하십시오.

성능 문제 진단

성능 문제를 해결하는 첫 번째 단계는 예상보다 느린 테스트 시간에 기여하는 요소를 이해하는 것입니다. 우리가 자주 보는 몇 가지 일반적인 문제는 다음과 같습니다:

• API 보안 테스트가 저사양 vCPU 러너에서 실행 중
• 애플리케이션이 느리거나 단일 CPU 인스턴스에 배포되어 테스트 부하를 처리하지 못하고 있음
• 애플리케이션에 전체 테스트 속도에 영향을 미치는 느린 작업이 포함되어 있음(> 1/2 초)
• 애플리케이션에 대량의 데이터를 반환하는 작업이 포함되어 있음(> 500K+)
• 애플리케이션에 많은 수의 작업이 포함되어 있음(> 40)

애플리케이션에 전체 테스트 속도에 영향을 미치는 느린 작업이 포함되어 있음(> 1/2 초)

API 보안 테스트 작업 출력에는 우리가 테스트하는 속도, 각 테스트되는 작업의 응답 속도, 요약 정보를 포함한 유용한 정보가 있습니다. 성능 문제를 추적하는 데 어떻게 사용될 수 있는지 확인하기 위해 샘플 출력을 살펴보겠습니다:

API SECURITY: Loaded 10 operations from: assets/har-large-response/large_responses.har
API SECURITY:
API SECURITY: Testing operation [1/10]: 'GET http://target:7777/api/large_response_json'.
API SECURITY:  - Parameters: (Headers: 4, Query: 0, Body: 0)
API SECURITY:  - Request body size: 0 Bytes (0 bytes)
API SECURITY:
API SECURITY: Finished testing operation 'GET http://target:7777/api/large_response_json'.
API SECURITY:  - Excluded Parameters: (Headers: 0, Query: 0, Body: 0)
API SECURITY:  - Performed 767 requests
API SECURITY:  - Average response body size: 130 MB
API SECURITY:  - Average call time: 2 seconds and 82.69 milliseconds (2.082693 seconds)
API SECURITY:  - Time to complete: 14 minutes, 8 seconds and 788.36 milliseconds (848.788358 seconds)

이 작업 콘솔 출력 스니펫은 발견된 작업 수(10)를 알려주고, 특정 작업에 대한 테스트가 시작되었음을 알리고, 작업 요약이 완료되었음을 알립니다. 요약은 이 로그 출력의 가장 흥미로운 부분입니다. 요약에서 API 보안 테스트가 이 작업과 관련된 필드를 완전히 테스트하기 위해 767개의 요청을 수행했음을 알 수 있습니다. 또한 평균 응답 시간이 2초였고 이 하나의 작업을 완료하는 데 14분이 걸렸습니다.

평균 응답 시간 2초는 이 특정 작업을 테스트하는 데 시간이 오래 걸린다는 좋은 초기 지표입니다. 또한 응답 본문 크기가 상당히 큽니다. 이 경우 많은 데이터를 각 요청에서 전송하는 것이 그 2초의 대부분을 차지하는 원인입니다.

이 문제에 대해 팀에서는 다음과 같은 결정을 내릴 수 있습니다:

• 더 많은 vCPU가 있는 러너를 사용하여 API 보안 테스트가 수행되는 작업을 병렬 처리할 수 있도록 합니다. 이렇게 하면 테스트 시간이 단축되지만 작업을 테스트하는 데 걸리는 시간이 길기 때문에 10분 이내로 테스트 시간을 줄이는 것은 여전히 문제가 될 수 있습니다. 더 큰 러너는 비용이 더 많이 들지만 작업 실행 시간이 빠르면 더 적은 분으로 청구됩니다.
• API 보안 테스트에서 이 작업을 제외합니다. 이는 가장 간단하지만 보안 테스트 범위에 빈틈이 생기는 단점이 있습니다.

• 기능 브랜치의 API 보안 테스트에서 작업을 제외하되 기본 브랜치 테스트에는 포함되도록 합니다.

• API 보안 테스트를 여러 작업으로 분할합니다.

가장 가능성 있는 해결책은 팀의 요구 사항이 5-7분 범위에 있다고 가정할 때 이러한 솔루션의 조합을 사용하여 적절한 테스트 시간에 도달하는 것입니다.

성능 문제 해결

다음 섹션에서는 API 보안 테스트의 성능 문제를 해결하기 위한 다양한 옵션을 문서화합니다:

• 더 큰 러너 사용
• 느린 작업 제외
• 테스트를 여러 작업으로 나누기
• 기본 브랜치가 아닌 기능 브랜치에서 작업 제외

더 큰 러너 사용

가장 쉬운 성능 향상 방법 중 하나는 API 보안 테스트에 더 큰 러너를 사용하는 것입니다. 이 표는 Java Spring Boot REST API의 벤치마킹 동안 수집된 통계를 보여줍니다. 이 벤치마크에서 대상 및 API 보안 테스트는 단일 러너 인스턴스를 공유합니다.

이 표에서 볼 수 있듯이, 러너의 크기와 vCPU 수를 증가시키는 것은 테스트 속도/성능에 큰 영향을 미칠 수 있습니다.

다음은 API 보안 테스트를 위해 tags 섹션을 추가하여 Linux에서 중간 SaaS 러너를 사용하는 예시 작업 정의입니다. 이 작업은 API 보안 테스트 템플릿을 통해 포함된 작업 정의를 확장합니다.

api_security:
  tags:
  - saas-linux-medium-amd64

gl-api-security-scanner.log 파일에서 Starting work item processor 문자열을 검색하여 보고된 최대 DOP(병렬 처리 비율)를 확인할 수 있습니다. 최대 DOP는 러너에 할당된 vCPU 수 이상이어야 합니다. 문제를 식별할 수 없는 경우 지원팀에 티켓을 열어 도움을 요청하세요.

예시 로그 항목:

17:00:01.084 [INF] <Peach.Web.Core.Services.WebRunnerMachine> 4 최대 DOP와 함께 작업 항목 프로세서를 시작합니다

느린 작업 제외

하나 또는 두 개의 느린 작업의 경우, 팀은 해당 작업의 테스트를 건너뛰기로 결정할 수 있습니다. 작업 제외는 이 섹션에서 설명된 APISEC_EXCLUDE_PATHS 구성 변수를 사용하여 수행됩니다.

이 예에서는 많은 양의 데이터를 반환하는 작업이 있습니다. 해당 작업은 GET http://target:7777/api/large_response_json입니다. 이를 제외하기 위해 작업 URL의 경로 부분인 /api/large_response_json과 함께 APISEC_EXCLUDE_PATHS 구성 변수를 제공합니다.

작업이 제외되었는지 확인하려면 API 보안 테스트 작업을 실행하고 작업 콘솔 출력을 검토하세요. 테스트 끝에 포함된 작업과 제외된 작업 목록이 포함되어 있습니다.

api_security:
  variables:
    APISEC_EXCLUDE_PATHS: /api/large_response_json

테스트에서 작업을 제외하면 일부 취약점이 발견되지 않을 수 있습니다.

테스트를 여러 작업으로 나누기

테스트를 여러 작업으로 나누는 것은 APISEC_EXCLUDE_PATHS 및 APISEC_EXCLUDE_URLS의 사용을 통해 API 보안 테스트에서 지원됩니다. 테스트를 나눌 때, 일반적인 패턴은 dast_api 작업을 비활성화하고 식별 이름이 포함된 두 작업으로 대체하는 것입니다. 이 예제에서는 두 작업이 각 API의 버전을 테스트하고 있으므로 이름이 이를 반영합니다. 그러나 이 기술은 API 버전뿐만 아니라 모든 상황에 적용될 수 있습니다.

APISEC_v1 및 APISEC_v2 작업에서 사용하는 규칙은 API 보안 테스트 템플릿에서 복사된 것입니다.

# 기본 dast_api 작업 비활성화
api_security:
  rules:
  - if: $CI_COMMIT_BRANCH
    when: never

APISEC_v1:
  extends: dast_api
  variables:
    APISEC_EXCLUDE_PATHS: /api/v1/**
  rules:
  - if: $APISEC_DISABLED == 'true' || $APISEC_DISABLED == '1'
    when: never
  - if: $APISEC_DISABLED_FOR_DEFAULT_BRANCH == 'true' &&
        $CI_DEFAULT_BRANCH == $CI_COMMIT_REF_NAME
    when: never
  - if: $APISEC_DISABLED_FOR_DEFAULT_BRANCH == '1' &&
        $CI_DEFAULT_BRANCH == $CI_COMMIT_REF_NAME
    when: never
  - if: $CI_COMMIT_BRANCH &&
        $CI_GITLAB_FIPS_MODE == "true"
    variables:
      APISEC_IMAGE_SUFFIX: "-fips"
  - if: $CI_COMMIT_BRANCH

APISEC_v2:
  variables:
    APISEC_EXCLUDE_PATHS: /api/v2/**
  rules:
  - if: $APISEC_DISABLED == 'true' || $APISEC_DISABLED == '1'
    when: never
  - if: $APISEC_DISABLED_FOR_DEFAULT_BRANCH == 'true' &&
        $CI_DEFAULT_BRANCH == $CI_COMMIT_REF_NAME
    when: never
  - if: $APISEC_DISABLED_FOR_DEFAULT_BRANCH == '1' &&
        $CI_DEFAULT_BRANCH == $CI_COMMIT_REF_NAME
    when: never
  - if: $CI_COMMIT_BRANCH &&
        $CI_GITLAB_FIPS_MODE == "true"
    variables:
      APISEC_IMAGE_SUFFIX: "-fips"
  - if: $CI_COMMIT_BRANCH

기능 브랜치에서 제외된 작업, 기본 브랜치에서는 제외되지 않음

느린 작업이 한두 개인 경우, 팀은 작업 테스트를 건너뛰거나 기능 브랜치 테스트에서 제외하고 기본 브랜치 테스트에는 포함하기로 결정할 수 있습니다. 작업을 제외하는 것은 이 섹션에서 설명한 대로 APISEC_EXCLUDE_PATHS 구성 변수를 사용하여 수행됩니다.

이 예제에서는 많은 양의 데이터를 반환하는 작업이 있습니다. 작업은 GET http://target:7777/api/large_response_json입니다. 이를 제외하기 위해 작업 URL의 경로 부분 /api/large_response_json과 함께 APISEC_EXCLUDE_PATHS 구성 변수를 제공합니다. 우리의 구성은 주요 dast_api 작업을 비활성화하고 두 개의 새로운 작업 APISEC_main과 APISEC_branch를 생성합니다. APISEC_branch는 긴 작업을 제외하도록 설정되어 있으며 기본 브랜치가 아닌 브랜치(예: 기능 브랜치)에서만 실행됩니다. APISEC_main 브랜치는 기본 브랜치(main 이 예제에서)에서만 실행되도록 설정됩니다. APISEC_branch 작업은 더 빠르게 실행되어 빠른 개발 주기를 가능하게 하며, 기본 브랜치 빌드에서만 실행되는 APISEC_main 작업은 실행하는 데 시간이 더 걸립니다.

작업이 제외되었는지 확인하려면 API 보안 테스트 작업을 실행하고 작업 콘솔 출력을 검토하세요. 테스트 끝에 포함된 작업과 제외된 작업 목록이 포함되어 있습니다.

# 서로 다른 이름을 가진 두 개의 작업을 생성할 수 있도록 주요 작업 비활성화
api_security:
  rules:
  - if: $CI_COMMIT_BRANCH
    when: never

# 기능 브랜치 작업에 대한 API 보안 테스트, /api/large_response_json 제외
APISEC_branch:
  extends: dast_api
  variables:
    APISEC_EXCLUDE_PATHS: /api/large_response_json
  rules:
  - if: $APISEC_DISABLED == 'true' || $APISEC_DISABLED == '1'
    when: never
  - if: $APISEC_DISABLED_FOR_DEFAULT_BRANCH == 'true' &&
        $CI_DEFAULT_BRANCH == $CI_COMMIT_REF_NAME
    when: never
  - if: $APISEC_DISABLED_FOR_DEFAULT_BRANCH == '1' &&
        $CI_DEFAULT_BRANCH == $CI_COMMIT_REF_NAME
    when: never
  - if: $CI_COMMIT_BRANCH &&
        $CI_GITLAB_FIPS_MODE == "true"
    variables:
      APISEC_IMAGE_SUFFIX: "-fips"
  - if: $CI_COMMIT_BRANCH == $CI_DEFAULT_BRANCH
    when: never
  - if: $CI_COMMIT_BRANCH

# 기본 브랜치(이 경우 main)에 대한 API 보안 테스트
# 긴 작업 포함
APISEC_main:
  extends: dast_api
  rules:
  - if: $APISEC_DISABLED == 'true' || $APISEC_DISABLED == '1'
    when: never
  - if: $APISEC_DISABLED_FOR_DEFAULT_BRANCH == 'true' &&
        $CI_DEFAULT_BRANCH == $CI_COMMIT_REF_NAME
    when: never
  - if: $APISEC_DISABLED_FOR_DEFAULT_BRANCH == '1' &&
        $CI_DEFAULT_BRANCH == $CI_COMMIT_REF_NAME
    when: never
  - if: $CI_COMMIT_BRANCH &&
        $CI_GITLAB_FIPS_MODE == "true"
    variables:
      APISEC_IMAGE_SUFFIX: "-fips"
  - if: $CI_COMMIT_BRANCH == $CI_DEFAULT_BRANCH