• 보안 테스트
• 준수

보안 구성

보안 구성 페이지는 보안 테스트 및 준수 도구에 대해 다음과 같은 내용을 나열합니다:

• 이름, 설명, 및 문서 링크.
• 사용 가능 여부.
• 구성 버튼 또는 구성 가이드 링크.

각 보안 제어의 상태를 결정하기 위해, GitLab은 기본 브랜치의 가장 최근 커밋에서 CI/CD 파이프라인을 확인합니다.

GitLab이 CI/CD 파이프라인을 찾으면, .gitlab-ci.yml 파일의 각 작업을 검사합니다.

• 작업이 보안 스캐너에 대한 artifacts:reports 키워드를 정의하면, GitLab은 해당 보안 스캐너가 활성화된 것으로 간주하고 활성화됨 상태를 표시합니다.
• 작업이 보안 스캐너에 대한 artifacts:reports 키워드를 정의하지 않으면, GitLab은 보안 스캐너가 비활성화된 것으로 간주하고 비활성화됨 상태를 표시합니다.

GitLab이 CI/CD 파이프라인을 찾지 못하면, 모든 보안 스캐너가 비활성화된 것으로 간주하고 비활성화됨 상태를 표시합니다.

실패한 파이프라인 및 작업도 이 프로세스에 포함됩니다. 스캐너가 구성되어 있지만 작업이 실패하는 경우에도, 해당 스캐너는 여전히 활성화된 것으로 간주됩니다. 이 프로세스는 또한 API를 통해 반환되는 스캐너 및 상태를 결정합니다.

최신 파이프라인이 Auto DevOps를 사용하는 경우, 모든 보안 기능은 기본적으로 설정됩니다.

프로젝트의 보안 구성을 보려면:

1. 왼쪽 사이드바에서 검색 또는 이동을 선택하고 프로젝트를 찾습니다.
2. 보안 > 보안 구성을 선택합니다.

구성 이력을 선택하여 .gitlab-ci.yml 파일의 이력을 확인합니다.

보안 테스트

다음 보안 제어를 구성할 수 있습니다:

• 정적 애플리케이션 보안 테스트 (SAST)
  • 현재 프로젝트에 대해 SAST를 구성하려면 SAST 활성화를 선택합니다.
    자세한 내용은 UI에서 SAST 구성을 참조하십시오.
• 동적 애플리케이션 보안 테스트 (DAST)
  • 현재 프로젝트에 대해 DAST를 구성하려면 DAST 활성화를 선택합니다.
  • 저장된 DAST 스캔, 사이트 프로필 및 스캐너 프로필을 관리하려면 스캔 관리를 선택합니다.
    자세한 내용은 DAST 온디맨드 스캔을 참조하십시오.
• 종속성 스캐닝
  • 종속성 스캐닝을 활성화하는 데 필요한 변경 사항으로 병합 요청을 만들려면 병합 요청으로 구성을 선택합니다.
    자세한 내용은 사전 구성된 병합 요청 사용을 참조하십시오.
• 컨테이너 스캐닝
  • 컨테이너 스캐닝을 활성화하는 데 필요한 변경 사항으로 병합 요청을 만들려면 병합 요청으로 구성을 선택합니다.
    자세한 내용은 자동 병합 요청을 통한 컨테이너 스캐닝 활성화를 참조하십시오.
• 레지스트리용 컨테이너 스캐닝
  • 현재 프로젝트에 대해 레지스트리용 컨테이너 스캐닝을 구성하려면 토글을 활성화합니다.
• 운영 컨테이너 스캐닝
  • 에이전트 구성에 구성 블록을 추가하여 구성할 수 있습니다. 자세한 내용은 운영 컨테이너 스캐닝을 참조하십시오.
• 비밀 탐지
  • 비밀 탐지를 활성화하는 데 필요한 변경 사항으로 병합 요청을 만들려면 병합 요청으로 구성을 선택합니다. 자세한 내용은 자동으로 구성된 병합 요청 사용을 참조하십시오.
• API 퍼징
  • 현재 프로젝트에 대해 API 퍼징을 사용하려면 API 퍼징 활성화를 선택합니다. 자세한 내용은 API 퍼징을 참조하십시오.
• 커버리지 퍼징
  • .gitlab-ci.yml로 구성할 수 있습니다. 자세한 내용은 커버리지 퍼징을 참조하십시오.

준수

Offering: GitLab.com, Self-managed, GitLab Dedicated

다음 보안 제어를 구성할 수 있습니다:

• 보안 교육
  • 현재 프로젝트에 대해 보안 교육을 활성화합니다. 자세한 내용은 보안 교육을 참조하세요.