의존성 목록
- GitLab 14.6에서 도입된 시스템 의존성.
- 기본적으로 비활성화된
group_level_dependencies라는 플래그로 함께 GitLab 16.2에 도입된 그룹 수준의 의존성 목록.- GitLab 16.4에서 GitLab.com 및 자체 관리에서 활성화된 그룹 수준의 의존성 목록.
- GitLab 16.5에서 일반 사용 가능. 기능 플래그
group_level_dependencies제거됨.
프로젝트 또는 그룹의 의존성 및 해당 의존성의 중요 세부 정보를 검토하려면 의존성 목록을 사용합니다. 이 목록은 프로젝트의 기존 및 새로운 발견을 포함한 의존성들의 모음입니다. 이 정보는 때로는 소프트웨어 비용 자료(SBOM) 또는 BOM으로 언급되기도 합니다.
개요는 프로젝트 의존성을 참조하세요.
사전 준비 작업
프로젝트의 의존성을 보려면 다음 요구 사항을 충족해야 합니다:
- 프로젝트에 대해 의존성 스캔 또는 컨테이너 스캔 CI 작업이 구성되어 있어야 합니다.
- 프로젝트가 Gemnasium에서 지원하는 언어 및 패키지 관리자들 중 최소 하나를 사용해야 합니다.
- 기본 브랜치에서 성공적인 파이프라인이 실행되었어야 합니다.
- 응용 프로그램 보안 작업들이 실패하도록 기본 동작을 변경해서는 안 됩니다.
프로젝트 의존성 보기
프로젝트나 그룹의 모든 프로젝트의 의존성을 보려면 다음 작업을 수행하세요:
- 왼쪽 사이드바에서 검색 또는 이동을 선택하고 프로젝트 또는 그룹을 찾습니다.
- 보안 > 의존성 목록을 선택합니다.
각 의존성의 세부 정보는 존재하는 취약점의 심각도(있는 경우)에 따라 나열되며, 대신 구성 요소 이름 또는 패키저 순으로 목록을 정렬할 수 있습니다.
| 필드 | 설명 |
|---|---|
| 구성 요소 | 의존성의 이름과 버전입니다. |
| 패키저 | 의존성을 설치하는 데 사용된 패키저입니다. |
| 위치 | 시스템 의존성의 경우 스캔된 이미지를 나열합니다. 애플리케이션 의존성의 경우 프로젝트의 팩커별 lock 파일에 선언된 의존성의 링크를 표시합니다. 또한 지원되는 경우 최상위 의존성에 대한 의존성 경로도 나타냅니다. |
| 라이선스1 | 의존성의 소프트웨어 라이선스로 연결하는 링크입니다. 해당 의존성에서 감지된 취약점 수를 포함하는 경고 배지입니다. |
| 프로젝트2 | 의존성을 갖고 있는 프로젝트로 연결하는 링크입니다. 여러 프로젝트가 동일한 의존성을 갖고 있는 경우 해당 프로젝트의 총 수가 표시됩니다. 이 의존성을 갖고 있는 프로젝트로 이동하려면 프로젝트 번호를 선택한 다음 이름을 검색하고 선택합니다. 프로젝트 검색 기능은 그룹의 계층 구조 내에서 최대 600개의 발생을 가진 그룹만 지원합니다. |
- 프로젝트 수준의 의존성만 해당됩니다.
- 그룹 수준의 의존성만 해당됩니다.
의존성 목록 필터링
group_level_dependencies_filtering이라는 플래그로 함께 GitLab 16.7에 도입된 그룹 수준의 의존성 목록 필터링. 기본적으로 비활성화됨.- GitLab 16.10에서 일반 사용 가능. 기능 플래그
group_level_dependencies_filtering제거됨.
그룹 수준의 의존성 목록에서 다음과 같이 필터링할 수 있습니다:
- 프로젝트
- 라이선스
의존성 목록을 필터링하려면 다음을 수행하세요:
- 왼쪽 사이드바 상단에서 GitLab 검색()을 선택하여 프로젝트나 그룹을 찾습니다.
- 보안 > 의존성 목록을 선택합니다.
- 필터 막대를 선택합니다.
- 필터를 선택한 다음 드롭다운 목록에서 하나 이상의 기준을 선택합니다. 드롭다운 목록을 닫으려면 해당 외부를 선택하세요. 추가 필터를 추가하려면 이 단계를 반복하세요.
- 선택한 필터를 적용하려면 Enter를 누릅니다.
의존성 목록은 선택한 필터와 일치하는 의존성만 표시합니다.
취약점
의존성에 알려진 취약점이 있는 경우, 해당하는 의존성 이름 옆의 화살표를 선택하거나 몇 개의 알려진 취약점이 있는지 나타내는 배지를 선택하여 확인할 수 있습니다. 각각의 취약점에 대해 심각도와 설명이 아래에 표시됩니다. 취약점의 자세한 정보를 보려면 취약점의 설명을 선택하면 됩니다. 취약점의 자세한 정보 페이지가 열립니다.
의존성 경로
의존성 목록에는 의존성과 연결된 최상위 의존성 사이의 경로를 보여줍니다(해당할 경우). 여러 경로가 일시적인 의존성과 최상위 의존성들을 연결할 수 있지만, 사용자 인터페이스에서는 가장 짧은 경로 중 하나만 표시됩니다.
참고: 의존성 경로는 취약점이 있는 의존성에 대해서만 표시됩니다.
경고:
의존성 분석 보고서의 dependency_files 속성을 기반으로 한 의존성 경로는 GitLab 16.9에서 폐기되었으며 17.0에서 제거 예정입니다.
이것은 CycloneDX 보고서에서의 데이터로 대체될 것입니다.
다음 패키지 관리자에서는 의존성 경로가 지원됩니다:
라이선스
만약 의존성 스캔 CI 작업이 구성된 경우, 발견된 라이선스가 이 페이지에 표시됩니다.
의존성 목록 다운로드
의존성 및 상세 정보를 JSON 형식으로 전체 목록을 다운로드할 수 있습니다. 의존성 목록은 기본 브랜치에서 실행된 마지막 성공적인 파이프라인의 결과만 표시됩니다.
의존성 목록을 다운로드하려면:
- 왼쪽 사이드바에서 검색 또는 이동하여를 선택하고 프로젝트 또는 그룹을 찾습니다.
- Secure > 의존성 목록을 선택합니다.
- Export를 선택합니다.
문제 해결
라이선스가 ‘알 수 없음’으로 표시됨
특정 의존성의 라이선스가 알 수 없음으로 표시될 수 있는 몇 가지 가능한 이유에 대해 설명합니다. 이 섹션에서는 특정 의존성의 라이선스가 알려진 이유에 따라 알 수 없음으로 표시되는지 여부를 결정하는 방법을 설명합니다.
상류 라이선스가 ‘알 수 없음’
의존성의 상류에서 지정한 라이선스를 확인합니다:
- C/C++ 패키지의 경우, Conancenter를 확인합니다.
- npm 패키지의 경우, npmjs.com를 확인합니다.
- Python 패키지의 경우, PyPI를 확인합니다.
- NuGet 패키지의 경우, Nuget를 확인합니다.
- Go 패키지의 경우, pkg.go.dev를 확인합니다.
상류에서 라이선스가 알 수 없음으로 나타나면 GitLab도 해당 의존성의 라이선스를 알 수 없음으로 표시할 것으로 예상됩니다.
라이선스에 SPDX 라이선스 표현 포함
SPDX 라이선스 표현은 지원되지 않습니다. SPDX 라이선스 표현을 사용한 의존성은 알 수 없음인 라이선스로 표시됩니다. SPDX 라이선스 표현의 예시로는 (MIT OR CC0-1.0)이 있습니다. 자세한 내용은 issue 336878을 읽어보세요.
패키지 버전이 Package Metadata DB에 없음
의존성 패키지의 특정 버전은 Package Metadata Database에 존재해야 합니다. 그렇지 않으면 해당 의존성의 라이선스가 알 수 없음으로 표시됩니다. Go 모듈에 관련된 자세한 내용은 issue 440218를 읽어보세요.
패키지 이름에 특수 문자가 포함된 경우
의존성 패키지의 이름에 하이픈(-)이 포함된 경우, 라이선스가 알 수 없음으로 표시될 수 있습니다. 이는 패키지가 requirements.txt에 수동으로 추가되거나 pip-compile이 사용될 때 발생할 수 있습니다. 이는 GitLab이 PEP 503의 권장에 따라 Python 패키지 이름을 정규화하지 않기 때문에 발생합니다. 자세한 내용은 issue 440391를 읽어보세요.
도움말