DAST 버전 4 브라우저 기반 분석기에서 DAST 버전 5로의 마이그레이션

DAST 버전 5은 DAST 버전 4를 대체합니다. 본 문서는 DAST 버전 4 브라우저 기반 분석기에서 DAST 버전 5로 마이그레이션하기 위한 안내서로 사용됩니다.

다음 조건이 모두 적용된다면 본 마이그레이션 가이드를 따르세요.

  1. CI/CD 파이프라인에서 DAST를 사용하여 DAST 스캔을 실행합니다.
  2. DAST CI/CD 작업은 DAST.gitlab-ci.yml 또는 DAST.latest.gitlab-ci.yml 템플릿 중 하나를 포함하여 구성됩니다.
  3. CI/CD 변수 DAST_VERSION이 설정되지 않았거나 4 이하로 설정되어 있습니다.
  4. CI/CD 변수 DAST_BROWSER_SCANtrue로 설정되어 있습니다.

DAST 버전 5로 마이그레이션하려면 아래 섹션을 읽고 권장 사항을 수정하십시오.

DAST 분석기 버전

DAST에는 두 가지 주요 버전이 있습니다: 4와 5. 제3의 GitLab 17.0 파기 변경 시간대인 2024년 5월 6일 09:00 UTC부터 2024년 5월 8일 22:00 UTC까지, DAST.gitlab-ci.ymlDAST.latest.gitlab-ci.yml 템플릿은 기본적으로 DAST 버전 5를 사용합니다. DAST 버전 4를 계속 사용할 수는 있지만 DAST 버전 5로 마이그레이션하는 동안 일시적 조치로만 사용해야 합니다. 자세한 내용은 버전 4를 계속 사용을 참조하세요.

각 DAST 주요 버전은 다른 분석기를 실행합니다:

  • DAST 버전 4는 프록시 기반 또는 브라우저 기반 분석기 중 하나를 실행 가능하며, 기본적으로 프록시 기반 분석기를 사용합니다.
  • DAST 버전 5는 브라우저 기반 분석기만 실행합니다.

DAST 버전 5는 새로운 CI/CD 변수 세트를 사용합니다. DAST 버전 4 변수 이름에 대한 별칭이 생성되었습니다.

수정해야 할 내용:

  • GitLab 16.11 및 이전 버전에서 DAST 버전 5를 사용하여 DAST 스캔을 테스트하려면 CI/CD 변수 DAST_VERSION을 5로 설정하세요.

버전 4를 계속 사용

버전 4 브라우저 기반 DAST 분석기를 GitLab 18.0까지 사용할 수 있습니다. 레거시 분석기에 있는 버그와 취약점은 수정되지 않을 것입니다.

수정해야 할 내용:

  • DAST 버전 4를 계속 사용하려면 CI/CD 변수 DAST_VERSION을 4로 설정하세요.

아티팩트

GitLab 17.0은 DAST 버전 5에서 생성된 아티팩트를 DAST CI 작업에 자동으로 게시합니다.

수정해야 할 내용:

  • CI 작업 정의에서 artifacts를 제거하세요. 파일 로그, 크롤 그래프, 또는 인증 보고서를 노출하기 위해 재정의한 경우 제거하세요.
  • CI/CD 변수 DAST_BROWSER_FILE_LOG_PATHDAST_FILE_LOG_PATH는 더 이상 필요하지 않습니다.

취약점 검사 커버리지

버전 4의 브라우저 기반 DAST는 프록시 기반 분석기 검사를 포함하지 않은 활성 검사를 위해 프록시 기반 분석기 검사를 사용합니다. 버전 5의 브라우저 기반 DAST는 프록시 기반 분석기를 포함하지 않기 때문에 버전 5로 마이그레이션할 때 검사 커버리지에 차이가 있습니다.

브라우저 기반 DAST에는 사용되지 않는 세 가지 프록시 기반 활성 검사가 있습니다. 완전한 커버리지를 제공하기 위해 추가 검사를 추가하는 작업이 진행 중이며, 추가 검사가 완료될 때까지 DAST 버전 4에 남아 있을 수 있습니다. 자세한 내용은 버전 4를 계속 사용를 참조하세요.

남아 있는 검사:

  • CWE-79: Cross-site Scripting (XSS)
  • CWE-384: Session Fixation
  • CWE-16: TRACE HTTP

남아 있는 검사의 진행 상황은 epic Remaining active checks for BBD에서 확인하세요.

CI/CD 변수 변경 사항

다음 표는 브라우저 기반 분석기 DAST 버전 4 CI/CD 변수별 필요한 마이그레이션 작업을 개요화한 것입니다. 브라우저 기반 분석기 구성에 대한 자세한 내용은 configuration을 참조하세요.

DAST 버전 4 CI/CD 변수 필요한 작업 비고
DAST_ADVERTISE_SCAN 이름 변경 DAST_REQUEST_ADVERTISE_SCAN로 변경
DAST_AUTH_COOKIES 이름 변경 DAST_AUTH_COOKIE_NAMES로 변경
DAST_AUTH_DISABLE_CLEAR_FIELDS 이름 변경 DAST_AUTH_CLEAR_INPUT_FIELDS로 변경
DAST_AUTH_REPORT 필요한 작업 없음  
DAST_AUTH_TYPE 필요한 작업 없음  
   
(표 계속)