요구 사항
- Linux/amd64에
docker
executor가 있는 GitLab Runner 사용 가능. - 대상 애플리케이션이 배포되어 있어야 합니다. 자세한 내용은 배포 옵션을 읽어보세요.
-
CI/CD 파이프라인 정의에
dast
스테이지가 추가되어 있어야 합니다. 예를 들어, 배포 단계 이후에 이를 추가해야 합니다:stages: - build - test - deploy - dast
권장 사항
- 파이프라인이 각 실행마다 동일한 웹 서버에 배포되도록 구성된 경우 주의해야 합니다. 서버가 업데이트되는 동안 DAST 스캔을 실행하는 것은 부정확하고 결정론적이지 않은 결과를 낳습니다.
- 분석기의 최신 버전을 실행하기 위해 실행자를 항상 풀(Pull)하는 always pull policy를 사용하도록 실행자를 구성하세요.
-
기본적으로 DAST는 파이프라인에서 이전 작업에서 정의된 모든 artifact를 다운로드합니다. DAST 작업이
environment_url.txt
를 사용하여 테스트 중인 URL이나 이전 작업에서 생성된 다른 파일에 의존하지 않는 경우 artifact를 다운로드하지 않는 것이 좋습니다. artifact를 다운로드하지 않으려면, 분석기 CI/CD 작업을 변경하여 의존성을 지정하세요. 예를 들어, DAST 프록시 기반 분석기에 대해 다음을.gitlab-ci.yml
파일에 추가하세요:dast: dependencies: []
애플리케이션 배포 옵션
DAST는 스캔할 수 있는 배포된 애플리케이션이 필요합니다.
대상 애플리케이션의 복잡성에 따라 DAST 템플릿을 배포하고 구성하는 몇 가지 옵션이 있습니다. 예제 애플리케이션 세트가 DAST demonstrations 프로젝트에 있는 자세한 구성과 함께 제공됩니다.
리뷰 앱
리뷰 앱(Review apps)은 DAST 대상 애플리케이션을 배포하는 가장 복잡한 방법입니다. 프로세스를 보조하기 위해 Google Kubernetes Engine (GKE)를 사용한 리뷰 앱 배포를 만들었습니다. 이 예제는 Review apps - GKE 프로젝트에서 찾을 수 있으며, DAST를 위한 리뷰 앱 구성에 대한 자세한 지침은 README.md에서 확인할 수 있습니다.
Docker Services
애플리케이션이 Docker 컨테이너를 사용하는 경우 DAST로 배포하고 스캔하는 다른 옵션이 있습니다. Docker 빌드 작업이 완료되고 이미지가 컨테이너 레지스트리에 추가된 후, 이미지를 서비스로 사용할 수 있습니다. 여러분의 .gitlab-ci.yml
에 서비스 정의를 추가하여 DAST 분석기로 서비스를 스캔할 수 있습니다.
작업에 services
섹션을 추가할 때, alias
를 사용하여 서비스에 액세스하는 데 사용할 호스트 이름을 정의합니다. 다음 예에서 dast
작업 정의의 alias: yourapp
부분은 배포된 애플리케이션에 액세스하는 데 yourapp
를 호스트 이름으로 사용합니다 (https://yourapp/
).
stages:
- build
- dast
include:
- template: DAST.gitlab-ci.yml
# 컨테이너를 GitLab 컨테이너 레지스트리에 배포함
deploy:
services:
- name: docker:dind
alias: dind
image: docker:20.10.16
stage: build
script:
- docker login -u gitlab-ci-token -p $CI_JOB_TOKEN $CI_REGISTRY
- docker pull $CI_REGISTRY_IMAGE:latest || true
- docker build --tag $CI_REGISTRY_IMAGE:$CI_COMMIT_SHA --tag $CI_REGISTRY_IMAGE:latest .
- docker push $CI_REGISTRY_IMAGE:$CI_COMMIT_SHA
- docker push $CI_REGISTRY_IMAGE:latest
dast:
services: # 서비스를 사용하여 앱 컨테이너를 DAST 작업에 연결
- name: $CI_REGISTRY_IMAGE:$CI_COMMIT_SHA
alias: yourapp
variables:
DAST_TARGET_URL: https://yourapp
DAST_FULL_SCAN: "true" # 전체 스캔 수행
DAST_BROWSER_SCAN: "true" # 브라우저 기반 GitLab DAST 크롤러 사용
대부분의 애플리케이션은 데이터베이스 또는 캐싱 서비스와 같은 여러 서비스에 의존합니다. 서비스 필드에 정의된 서비스는 기본적으로 서로 통신할 수 없습니다. 서비스 간 통신을 허용하려면 FF_NETWORK_PER_BUILD
피처 플래그를 활성화하세요.
variables:
FF_NETWORK_PER_BUILD: "true" # 모든 서비스가 동일한 네트워크에서 통신하도록 네트워크 per build를 활성화
services: # 서비스를 사용하여 컨테이너를 DAST 작업에 연결
- name: mongo:latest
alias: mongo
- name: $CI_REGISTRY_IMAGE:$CI_COMMIT_SHA
alias: yourapp