의존성 디렉터리

Tier: Ultimate Offering: GitLab.com, Self-Managed, GitLab Dedicated
  • GitLab 16.2에서 소개된 그룹 레벨 의존성 디렉터리은 기본적으로 비활성화된 group_level_dependencies 플래그를 사용합니다.
  • GitLab 16.4에서는 GitLab.com 및 Self-Managed에서 활성화되었습니다.
  • GitLab 16.5에서 일반적으로 사용 가능 합니다. 플래그 group_level_dependencies가 제거되었습니다.

프로젝트 또는 그룹의 의존성 및 해당 의존성의 주요 세부 정보, 알려진 취약점을 검토하는 데 의존성 디렉터리을 사용하십시오. 이 디렉터리은 기존 및 새로운 발견을 포함하여 프로젝트의 의존성을 수집한 것입니다. 이 정보는 소프트웨어 컴포넌트 디렉터리(SBOM) 또는 BOM으로 불리기도 합니다.

개요는 프로젝트 의존성을 참조하십시오.

전제 조건

프로젝트의 의존성을 보려면 다음 요구 사항을 충족하는지 확인하십시오:

프로젝트 의존성 보기

한 프로젝트 또는 그룹 내 모든 프로젝트의 의존성을 보려면:

  1. 왼쪽 사이드바에서 검색 또는 이동을 선택하여 프로젝트 또는 그룹을 찾으십시오.
  2. Secure > 의존성 디렉터리을 선택하십시오.

각 의존성의 세부 정보는 (존재하는 경우) 취약점의 심각도에 따라 정렬된 디렉터리으로 나열됩니다. 대신 컴포넌트 이름 또는 패키저로 디렉터리을 정렬할 수도 있습니다.

필드 설명
컴포넌트 의존성의 이름과 버전입니다.
패키저 의존성을 설치하는 데 사용된 패키저입니다.
위치 시스템 의존성의 경우 스캔된 이미지가 나열됩니다. 애플리케이션 의존성의 경우 프로젝트의 패키저별 락 파일에 대한 링크가 표시됩니다. 또한 (지원되는 경우) 최상위 의존성으로의 의존성 경로가 표시됩니다.
라이선스 (프로젝트 전용) 의존성의 소프트웨어 라이선스에 대한 링크입니다. 의존성에서 감지된 취약점 수를 포함하는 경고 배지가 있습니다.
프로젝트 (그룹 전용) 의존성을 가진 프로젝트로의 링크입니다. 여러 프로젝트에서 동일한 의존성이 있는 경우, 이러한 프로젝트의 총 수가 표시됩니다. 이 의존성을 가진 프로젝트로 이동하려면 프로젝트 숫자를 선택한 다음 해당 이름을 검색하여 선택하십시오. 600개까지 그룹 계층 구조 내에 발생하는 그룹에서만 프로젝트 검색 기능이 지원됩니다.

의존성 디렉터리

의존성 디렉터리 필터링

  • GitLab 16.7에서 소개된 이 그룹 레벨 의존성 디렉터리 필터링은 기본적으로 비활성화된 group_level_dependencies_filtering 플래그를 사용합니다.
  • GitLab 16.10에서는 일반적으로 사용 가능 합니다. 플래그 group_level_dependencies_filtering가 제거되었습니다.

그룹 레벨 의존성 디렉터리에서는 다음으로 필터링할 수 있습니다:

  • 프로젝트
  • 라이선스

의존성 디렉터리을 필터링하려면:

  1. 왼쪽 사이드바 상단에서 GitLab 검색()을 선택하여 프로젝트 또는 그룹을 찾으십시오.
  2. Secure > 의존성 디렉터리을 선택하십시오.
  3. 필터 표시줄을 선택합니다.
  4. 필터를 선택한 다음 드롭다운 디렉터리에서 하나 이상의 기준을 선택하십시오. 드롭다운 디렉터리을 닫으려면 디렉터리 외부를 선택하십시오. 추가 필터를 추가하려면 여기부터 반복하십시오.
  5. 선택한 필터를 적용하려면 Enter을 누릅니다.

의존성 디렉터리은 선택한 필터와 일치하는 의존성만 표시합니다.

취약점

특정 의존성에 알려진 취약점이 있는 경우, 해당 의존성의 이름 옆의 화살표나 알려진 취약점의 수를 나타내는 배지를 선택하여 볼 수 있습니다. 각 취약점에는 해당 취약점의 심각도와 설명이 표시됩니다. 취약점의 세부 정보를 보려면 취약점의 설명을 선택하십시오. 취약점의 세부 정보 페이지가 열립니다.

의존성 경로

의존성 디렉터리은 연결된 최상위 의존성과의 경로를 보여줍니다(지원되는 경우). 여러 경로가 하나의 최상위 의존성에 대한 일회성 의존성에 연결될 수 있지만 사용자 인터페이스에서는 가장 짧은 경로 중 하나만 표시됩니다.

note
의존성 경로는 취약점이 있는 의존성에 대해서만 표시됩니다.
caution
의존성 스캔 보고서의 dependency_files 속성을 기반으로 의존성 경로가 표시되었으나 GitLab 16.9에서 deprecated되었으며 17.0에서 제거될 예정입니다. 이는 CycloneDX 보고서의 데이터로 대체될 것입니다.

의존성 경로

다음 패키지 관리자를 위한 의존성 경로가 지원됩니다:

라이선스

의존성 스캔 CI 작업이 구성되어 있는 경우, 이 페이지에는 발견된 라이선스 가 표시됩니다.

의존성 디렉터리 다운로드

의존성 디렉터리의 전체 디렉터리과 세부 정보를 JSON 형식으로 다운로드할 수 있습니다. 의존성 디렉터리에는 기본 브랜치에서 실행된 마지막 성공적인 파이프라인의 결과만 표시됩니다.

의존성 디렉터리을 다운로드하려면:

  1. 왼쪽 사이드바에서 검색 또는 이동을 선택하여 프로젝트 또는 그룹을 찾으십시오.
  2. Secure > 의존성 디렉터리을 선택하십시오.
  3. Export를 선택하십시오.

문제 해결

라이선스가 ‘unknown’으로 표시됨

특정 의존성의 라이선스가 unknown로 표시될 수 있는 몇 가지 가능한 이유가 있습니다. 이 섹션에서는 알려진 이유로 인해 특정 의존성의 라이선스가 unknown로 표시되는지 여부를 결정하는 방법에 대해 설명합니다.

상류에서 라이선스가 ‘unknown’임

의존성 상류에 지정된 라이선스를 확인하십시오:

  • C/C++ 패키지의 경우 Conancenter를 확인하십시오.
  • npm 패키지의 경우 npmjs.com을 확인하십시오.
  • Python 패키지의 경우 PyPI를 확인하십시오.
  • NuGet 패키지의 경우 Nuget를 확인하십시오.
  • Go 패키지의 경우 pkg.go.dev를 확인하십시오.

상류에서 라이선스가 unknown로 표시된 경우, GitLab에서도 해당 의존성의 라이선스unknown으로 표시되는 것이 예상됩니다.

SPDX 라이선스 표현을 포함함

SPDX 라이선스 표현은 지원되지 않습니다. SPDX 라이선스 표현이 포함된 의존성은 unknown라이선스로 표시됩니다. SPDX 라이선스 표현의 예는 (MIT OR CC0-1.0)입니다. issue 336878에서 자세히 읽어보십시오.

패키지 버전이 패키지 메타데이터 DB에 없음

의존성 패키지의 특정 버전은 패키지 메타데이터 데이터베이스에 존재해야 합니다. 그렇지 않은 경우 해당 의존성의 라이선스unknown로 표시됩니다. Go 모듈에 관한 자세한 내용은 이슈 440218를 참조하세요.

패키지 이름에 특수 문자가 포함됨

의존성 패키지의 이름에 하이픈(-)이 포함된 경우 라이선스unknown으로 표시될 수 있습니다. 이는 패키지가 매뉴얼으로 requirements.txt에 추가되거나 pip-compile을 사용할 때 발생할 수 있습니다. Python 패키지 이름을 PEP 503의 정규화된 이름에 따라 정규화하지 않기 때문에 발생합니다. 의존성에 관한 정보를 수집할 때 GitLab이 가이드에 맞게 Python 패키지 이름을 정규화하지 않기 때문입니다. 자세한 내용은 이슈 440391를 참조하세요.