• 요구 사항
• 지원되는 언어 및 프레임워크
• 지원 종료된 분석기
• 다중 프로젝트 지원
  • Security Code Scan의 다중 프로젝트 지원 활성화
• 잘못된 양성 탐지
• 고급 취약점 추적
• 자동 취약점 해결
• 지원되는 배포
  • FIPS 활성화된 이미지
• 티어별 기능 요약
• 출력
• SAST 결과보기
  • Merge Request 위젯
  • Merge Request 변경 보기
• 스캐너 기여
• 구성
  • CI/CD YAML에서 SAST 구성
  • UI를 사용하여 SAST 구성
    • 사용자 정의로 SAST 구성
    • 기본 설정만 사용하여 SAST 구성
  • SAST 작업 재정의
  • 마이너 이미지 버전으로 고정
  • 프라이빗 리포지터리에 자격 증명 전달하기 위해 CI/CD 변수 사용
    • 프라이빗 Go 리포지터리에 사용자 이름과 암호를 전달하기 위해 CI/CD 변수 사용
    • 프라이빗 Maven 리포지터리에 사용자 이름과 암호를 전달하기 위해 CI/CD 변수 사용
  • Kubesec 분석기 활성화
  • 사전 컴파일
  • Merge Request 파이프라인에서 작업 실행
  • 사용 가능한 CI/CD 변수
    • 사용자 지정 인증 기관
    • 도커 이미지
    • 취약점 필터
    • 분석기 설정
    • 보안 스캐너 구성
    • 사용자 정의 CI/CD 변수
  • 실험적 기능
    • 실험적 기능 활성화
• 오프라인 환경에서 SAST 실행
  • 오프라인 SAST 요구 사항
  • Docker 레지스트리 내에서 GitLab SAST analyzer 이미지 사용 가능하게 만들기
    • 사용자 지정 인증 기관(CA) 지원이 필요한 경우
  • 로컬 SAST 분석기 사용을 위한 SAST CI/CD 변수 설정
  • 패키지의 인증서 검사 구성
  • SELinux에서 SAST 실행

정적 응용프로그램 보안 테스트 (SAST)

만약 GitLab CI/CD를 사용 중이라면 정적 응용프로그램 보안 테스트 (SAST)를 사용하여 소스 코드에서 알려진 취약점을 확인할 수 있습니다. SAST 분석기는 모든 GitLab 티어에서 실행할 수 있습니다. 이 분석기는 작업 결과를 JSON 형식의 보고서로 출력합니다.

GitLab Ultimate를 사용하면 SAST 결과를 다음과 같이 처리할 수도 있습니다:

• 승인 워크플로에 사용합니다.
• 보안 대시보드에서 검토합니다.

자세한 내용은 각 티어의 기능 요약을 참조하십시오.

파이프라인은 SAST 및 DAST 스캔을 포함한 여러 작업으로 구성됩니다. 어떤 이유로든 작업이 실패하면 보안 대시보드에 SAST 스캐너 출력이 표시되지 않습니다. 예를 들어, SAST 작업은 완료되었지만 DAST 작업이 실패하면 보안 대시보드에 SAST 결과가 표시되지 않습니다. 실패하면 분석기는 종료 코드를 출력합니다.

요구 사항

SAST는 기본적으로 사용 가능한 test 단계에서 실행됩니다. .gitlab-ci.yml 파일에서 단계를 재정의한다면, test 단계가 필요합니다.

SAST 작업을 실행하려면 기본적으로 GitLab Runner와 docker 또는 kubernetes 실행기가 필요합니다. GitLab.com에서 SaaS 러너를 사용하는 경우, 기본적으로 이 기능이 활성화되어 있습니다.

지원되는 언어 및 프레임워크

GitLab SAST는 다양한 프로그래밍 언어와 프레임워크를 스캔할 수 있습니다. SAST를 활성화하면 프로젝트에서 사용하는 언어가 하나 이상이더라도 적절한 분석기가 자동으로 실행됩니다.

SAST에서 언어 지원에 대한 우리의 계획에 대한 자세한 내용은 카테고리 방향 페이지를 참조하십시오.

1. SpotBugs 기반 분석기는 Gradle, Maven, 및 SBT를 지원합니다. 또한 Gradle wrapper, Grails, 및 Maven wrapper와 같은 변형으로 사용할 수 있습니다. 그러나 SpotBugs는 Ant 기반 프로젝트에 대해 제한 사항을 가지고 있습니다. Ant 기반 Java 또는 Scala 프로젝트에 대해서는 Semgrep 기반 분석기를 사용해야 합니다.
2. 이 분석기들은 GitLab 16.9에서 [폐기되었으며](https://gitlab.com/gitlab-org/gitlab/-/issues/431123) 17.0에서 제거될 예정입니다. [Semgrep 분석기](https://gitlab.com/gitlab-org/security-products/analyzers/semgrep)가 대체될 예정입니다.

지원 종료된 분석기

GitLab은 아래 분석기에 대한 지원을 종료했습니다. 이러한 분석기는 Semgrep 기반 분석기에 의해 대체되었습니다.

다중 프로젝트 지원

GitLab SAST는 여러 프로젝트를 포함하는 리포지터리를 스캔할 수 있습니다.

다음 분석기는 다중 프로젝트를 지원합니다:

• Bandit
• ESLint
• Gosec
• Kubesec
• NodeJsScan
• MobSF
• PMD
• Security Code Scan
• Semgrep
• SpotBugs
• Sobelow

Security Code Scan의 다중 프로젝트 지원 활성화

Security Code Scan에서 다중 프로젝트 지원을 활성화하려면 리포지터리 루트에 Solution (.sln) 파일이 필요합니다. 솔루션 형식에 대한 자세한 내용은 Microsoft 참조 Solution (.sln) file에서 확인하세요.

잘못된 양성 탐지

• Go에서 GitLab 15.8에서 도입.

GitLab SAST는 다른 도구의 출력에서 특정 유형의 잘못된 양성 결과를 식별할 수 있습니다. 이러한 결과는 취약점 보고서 및 취약점 페이지에서 거짓 긍정으로 표시됩니다.

잘못된 양성 탐지는 지원되는 언어 및 분석기의 하위 집합에서 사용할 수 있습니다:

• Semgrep 기반 분석기에서 Go
• Semgrep 기반 분석기에서 Ruby

고급 취약점 추적

소스 코드는 불안정합니다. 개발자가 변경을 가할 때 소스 코드는 파일 내에서 이동하거나 파일 간에 이동할 수 있습니다. 보안 분석기는 이미 추적 중인 취약점을 취약점 보고서에 연결하여 특정 문제가 되는 코드 조각과 연결합니다. 코드 조각이 이동함에 따라 추적되지 않으면 취약점을 다시 보고할 수 있기 때문에 취약점 관리가 더 어려워집니다.

GitLab SAST는 고급 취약점 추적 알고리즘을 사용하여 동일한 취약점이 리팩터링이나 무관한 변경으로 인해 파일 내에서 이동했을 때 보다 정확하게 식별할 수 있습니다.

고급 취약점 추적은 지원되는 언어 및 분석기의 하위 집합에서 사용할 수 있습니다:

• Semgrep 기반 분석기에서 C
• Semgrep 기반 분석기에서 C++
• Semgrep 기반 분석기에서 C#
• Semgrep 기반 분석기에서 Go
• Semgrep 기반 분석기에서 Java
• Semgrep 기반 분석기에서 JavaScript
• Semgrep 기반 분석기에서 PHP
• Semgrep 기반 분석기에서 Python
• Semgrep 기반 분석기에서 Ruby

더 많은 언어 및 분석기 지원에 대한 내용은 이 Epic에서 추적됩니다.

더 많은 정보는 비공개 프로젝트인 https://gitlab.com/gitlab-org/security-products/post-analyzers/tracking-calculator를 참조하세요. 본 프로젝트의 내용은 GitLab 팀 멤버에게만 제공됩니다.

자동 취약점 해결

• GitLab 15.9에 도입되었으며 sec_mark_dropped_findings_as_resolved라는 프로젝트 수준 플래그로 활성화됨.
• GitLab 15.10에서는 기본으로 활성화됨. GitLab.com에서 프로젝트의 플래그를 비활성화해야 하는 경우 지원팀에 문의하십시오.
• GitLab 16.2에서 피처 플래그가 제거됨.

GitLab SAST는 아직 관련이 있는 취약점에만 집중할 수 있도록 도와줍니다. 보안 취약점이 자동으로 해결됩니다.

• 미리 정의된 규칙을 비활성화하면
• 기본 규칙 집합에서 규칙을 제거하면

자동 해결 기능은 Semgrep 기반 분석기를 통해 발견된 결과에만 사용할 수 있습니다. 취약점 관리 시스템은 자동으로 해결된 취약점에 대해 코멘트를 남기므로 취약점의 기록이 유지됩니다.

나중에 규칙을 다시 활성화하면 취약점 조사를 위해 결과가 다시 열립니다.

지원되는 배포

기본 스캐너 이미지는 크기와 유지 관리성을 고려해 기본 Alpine 이미지에서 빌드됩니다.

FIPS 활성화된 이미지

GitLab은 FIPS 140으로 유효성을 검사한 암호 모듈을 사용하는 Red Hat UBI 기본 이미지를 기반으로 한 이미지 버전을 제공합니다. FIPS 활성화된 이미지를 사용하려면 다음 중 하나를 수행할 수 있습니다:

• SAST_IMAGE_SUFFIX를 -fips로 설정.
• 기본 이미지 이름에 -fips 확장자 추가.

예:

variables:
  SAST_IMAGE_SUFFIX: '-fips'

include:
  - template: Jobs/SAST.gitlab-ci.yml

FIPS 호환 이미지는 Semgrep 기반 분석기에만 사용할 수 있습니다.

티어별 기능 요약

다른 GitLab 티어에서 사용 가능한 다양한 기능은 다음 표와 같습니다.

출력

SAST는 작업 아티팩트로 gl-sast-report.json 파일을 출력합니다. 이 파일에는 감지된 모든 취약점의 세부 정보가 포함되어 있습니다. GitLab 외부에서 다운로드할 수 있습니다.

더 많은 정보를 보려면:

• SAST 보고서 파일 스키마
• SAST 보고서 파일 예시

SAST 결과보기

SAST 보고서 파일은 GitLab에서 처리되며 세부 정보를 다음과 같은 UI에서 볼 수 있습니다:

• Merge Request 위젯
• Merge Request 변경 보기
• 취약점 리포트

Merge Request 위젯

SAST 결과는 Merge Request 위젯 영역에 표시됩니다. 대상 브랜치에서의 보고서를 비교할 수 있는 경우 Merge Request 위젯에 SAST 결과 및 변경 내용에서 도입된 해결사례가 표시됩니다.

Merge Request 변경 보기

• GitLab 16.6에 도입되었으며 sast_reports_in_inline_diff라는 플래그로 제공됨. 기본적으로 비활성화됨.
• 기본적으로 GitLab 16.8에서 활성화됨.
• GitLab 16.9에서 피처 플래그가 제거됨.

SAST 결과는 Merge Request 변경 보기에 표시됩니다. SAST 문제가 포함된 줄은 거터 옆에 기호로 표시됩니다. 기호를 선택하여 문제 디렉터리을 보고 문제를 선택하면 세부 정보를 볼 수 있습니다.

스캐너 기여

보안 스캐너 통합 설명서에서는 다른 보안 스캐너를 GitLab에 통합하는 방법을 설명합니다.

구성

SAST 스캐닝은 CI/CD 파이프라인에서 실행됩니다. 프로젝트에 GitLab 관리 CI/CD 템플릿을 추가하면 올바른 SAST 분석기가 자동으로 코드를 스캔하고 SAST 보고서 아티팩트로 결과를 저장합니다.

프로젝트의 SAST를 구성하는 방법은 다음과 같습니다:

• Auto SAST 사용
• CI/CD YAML에서 SAST 구성
• UI를 통한 SAST 구성.

스캔 실행을 강제화하여 많은 프로젝트에 SAST를 활성화할 수 있습니다.

CI/CD YAML에서 SAST 구성

SAST를 활성화하려면, SAST.gitlab-ci.yml 템플릿을 포함합니다. 이 템플릿은 GitLab 설치의 일부로 제공됩니다.

.gitlab-ci.yml 파일의 맨 아래에 다음을 복사하여 붙여넣습니다. 이미 include 줄이 있는 경우 template 줄만 추가합니다.

include:
  - template: Jobs/SAST.gitlab-ci.yml

포함된 템플릿은 CI/CD 파이프라인에서 SAST 작업을 생성하고 프로젝트의 소스 코드를 가능한 취약점에 대해 스캔합니다.

결과는 SAST 보고서 아티팩트로 저장되며 나중에 다운로드하여 분석할 수 있습니다. 다운로드 시 항상 사용 가능한 최신 SAST 아티팩트를 받게 됩니다.

UI를 사용하여 SAST 구성

UI를 사용하여 SAST를 활성화하고 구성할 수 있으며 기본 설정 또는 사용자 정의로 설정할 수 있습니다. 사용할 수 있는 방법은 GitLab 라이선스 티어에 따릅니다.

사용자 정의로 SAST 구성

UI에서 GitLab 16.2부터 부터 개별 SAST 분석기 구성 옵션을 제거했습니다.

사용자 정의로 SAST를 활성화하고 구성하려면 다음을 수행합니다:

1. 왼쪽 사이드바에서 검색 또는 이동을 선택한 후 프로젝트를 찾습니다.
2. 보안 > 보안 구성을 선택합니다.
3. 프로젝트에 .gitlab-ci.yml 파일이 없는 경우, 정적 응용 프로그램 보안 테스트(SAST) 행에서 SAST 활성화를 선택하고, 그렇지 않으면 SAST 구성을 선택합니다.

4. 사용자 정의 SAST 값 입력

   사용자 정의 값은 .gitlab-ci.yml 파일에 저장됩니다. SAST 구성 페이지의 CI/CD 변수가 아닌 경우 해당 값은 GitLab SAST 템플릿에서 상속됩니다.

5. Merge Request 작성을 선택합니다.
6. Merge Request을 검토하고 Merge합니다.

이제 파이프라인에 SAST 작업이 포함됩니다.

기본 설정만 사용하여 SAST 구성

기본 설정만 사용하여 SAST를 활성화하고 구성하려면 다음을 수행합니다:

1. 왼쪽 사이드바에서 검색 또는 이동을 선택한 후 프로젝트를 찾습니다.
2. 보안 > 보안 구성을 선택합니다.
3. SAST 섹션에서 Merge Request으로 구성을 선택합니다.
4. SAST를 사용하려면 Merge Request을 검토하고 Merge합니다.

이제 파이프라인에 SAST 작업이 포함됩니다.

SAST 작업 재정의

작업 정의를 재정의하려면(예: variables, dependencies, 또는 rules와 같은 속성 변경) SAST 작업과 동일한 이름의 작업을 선언하여 템플릿 포함 이후에 이 새로운 작업을 지정하고 여기에 추가 키를 지정합니다. 예를 들어 spotbugs 분석기에 대해 FAIL_NEVER를 활성화합니다:

include:
  - template: Jobs/SAST.gitlab-ci.yml

spotbugs-sast:
  variables:
    FAIL_NEVER: 1

마이너 이미지 버전으로 고정

GitLab 관리 CI/CD 템플릿은 주 버전을 지정하고 해당 주 버전 내에서 최신 분석기 릴리스를 자동으로 가져옵니다.

특정한 경우에는 특정 버전을 사용해야 할 수 있습니다. 예를 들어 나중에 릴리스에서의 회귀를 피해야 할 수 있습니다.

자동 업데이트 동작을 재정의하려면 SAST.gitlab-ci.yml 템플릿를 포함한 후에 CI/CD 구성 파일에서 SAST_ANALYZER_IMAGE_TAG 환경 변수를 설정합니다.

특정 작업 내에서만 이 변수를 설정합니다. 만약 최상위 수준에서 설정하면 설정된 버전은 다른 SAST 분석기에서 사용됩니다.

태그를 다음과 같이 설정할 수 있습니다:

• 3과 같은 주 버전. 해당 주 버전 내에서 릴리스된 모든 마이너 또는 패치 업데이트가 파이프라인에서 사용됩니다.
• 3.7과 같은 마이너 버전. 해당 마이너 버전 내에서 릴리스된 모든 패치 업데이트가 파이프라인에서 사용됩니다.
• 3.7.0과 같은 패치 버전. 해당 패치 버전에서 릴리스된 업데이트를 파이프라인에서 받지 않습니다.

다음 예제는 semgrep 분석기의 특정 마이너 버전과 brakeman 분석기의 특정 패치 버전을 사용합니다:

include:
  - template: Jobs/SAST.gitlab-ci.yml

semgrep-sast:
  variables:
    SAST_ANALYZER_IMAGE_TAG: "3.7"

brakeman-sast:
  variables:
    SAST_ANALYZER_IMAGE_TAG: "3.1.1"

프라이빗 리포지터리에 자격 증명 전달하기 위해 CI/CD 변수 사용

일부 분석기는 분석을 수행하기 위해 프로젝트의 의존성을 다운로드해야 합니다. 이러한 의존성은 프라이빗 Git 리포지터리에 존재하며 다운로드하려면 사용자 이름과 암호와 같은 자격 증명이 필요할 수 있습니다. 분석기에 따라 해당 자격 증명은 사용자 정의 CI/CD 변수를 통해 제공할 수 있습니다.

프라이빗 Go 리포지터리에 사용자 이름과 암호를 전달하기 위해 CI/CD 변수 사용

Go 프로젝트가 프라이빗 모듈에 의존하는 경우, HTTPS를 통해 인증을 제공하는 방법은 프라이빗 프로젝트에서 모듈 가져오기를 참조하십시오.

~/.netrc를 통해 자격 증명을 지정하려면 다음과 같은 before_script를 제공합니다:

gosec-sast:
  before_script:
    - |
      cat <<EOF > ~/.netrc
      machine gitlab.com
      login $CI_DEPLOY_USER
      password $CI_DEPLOY_PASSWORD
      EOF

프라이빗 Maven 리포지터리에 사용자 이름과 암호를 전달하기 위해 CI/CD 변수 사용

개인 Maven 리포지터리에서 로그인 자격 증명이 필요한 경우, MAVEN_CLI_OPTS CI/CD 변수를 사용할 수 있습니다.

자세한 내용은 개인 Maven 리포지터리 사용을 읽어보십시오.

Kubesec 분석기 활성화

Kubesec 분석기를 활성화하려면 SCAN_KUBERNETES_MANIFESTS를 "true"로 설정해야 합니다. .gitlab-ci.yml 파일에 다음을 정의하세요:

include:
  - template: Jobs/SAST.gitlab-ci.yml

variables:
  SCAN_KUBERNETES_MANIFESTS: "true"

사전 컴파일

대부분의 GitLab SAST 분석기는 소스 코드를 먼저 컴파일하지 않고 직접 스캔합니다. 그러나 기술적인 이유로 일부 분석기는 컴파일된 코드만 스캔할 수 있습니다.

기본 설정에서 이러한 분석기는 의존성을 가져오고 코드를 컴파일하여 스캔할 시도를 합니다. 자동 컴파일은 다음과 같은 이유로 실패할 수 있습니다:

• 프로젝트가 사용자 정의 빌드 구성이 필요한 경우.
• 분석기에 내장되지 않은 언어 버전을 사용하는 경우.

이러한 문제를 해결하려면 분석기의 컴파일 단계를 건너뛰고 파이프라인의 이전 단계에서 가져온 artifact를 직접 제공할 수 있습니다. 이 전략을 _사전 컴파일_이라고 합니다.

현재 COMPILE CI/CD 변수를 지원하는 분석기에 대해 사용할 수 있습니다. 현재 디렉터리을 보려면 분석기 설정을 참조하십시오.

사전 컴파일을 사용하려면 다음을 수행하세요:

1. 프로젝트의 의존성을 프로젝트 작업 디렉터리의 디렉터리에 출력하여 해당 디렉터리를 아티팩트로 저장하려면 artifacts : paths 구성을 설정합니다.
2. 분석기 작업에 대한 의존성으로 컴파일 단계를 추가합니다.
3. 컴파일된 artifact를 분석기가 인식하게 하기 위해 디렉터리의 경로를 명시적으로 지정해야 합니다. 이러한 구성은 분석기당 다를 수 있습니다. Maven 프로젝트의 경우 MAVEN_REPO_PATH를 사용할 수 있습니다. 사용 가능한 옵션 디렉터리은 분석기 설정을 참조하십시오.

다음 예제는 Maven 프로젝트를 사전 컴파일하고 이를 SpotBugs SAST 분석기에 제공합니다:

stages:
  - build
  - test

include:
  - template: Jobs/SAST.gitlab-ci.yml

build:
  image: maven:3.6-jdk-8-slim
  stage: build
  script:
    - mvn package -Dmaven.repo.local=./.m2/repository
  artifacts:
    paths:
      - .m2/
      - target/

spotbugs-sast:
  dependencies:
    - build
  variables:
    MAVEN_REPO_PATH: $CI_PROJECT_DIR/.m2/repository
    COMPILE: "false"
  artifacts:
    reports:
      sast: gl-sast-report.json

Merge Request 파이프라인에서 작업 실행

Merge Request 파이프라인에서 보안 스캔 도구 사용 참조.

사용 가능한 CI/CD 변수

SAST는 .gitlab-ci.yml의 variables 매개변수를 사용하여 구성할 수 있습니다.

다음 예에서는 SEARCH_MAX_DEPTH 변수를 10으로 재정의하는 SAST 템플릿이 포함되어 있습니다. 템플릿은 파이프라인 구성 이전에 평가되므로 변수의 마지막 언급이 우선권을 갖습니다.

include:
  - template: Jobs/SAST.gitlab-ci.yml

variables:
  SEARCH_MAX_DEPTH: 10

사용자 지정 인증 기관

사용자 지정 인증 기관을 신뢰하려면 ADDITIONAL_CA_CERT_BUNDLE 변수를 SAST 환경에서 신뢰할 CA 인증서 번들로 설정하세요. ADDITIONAL_CA_CERT_BUNDLE 값은 X.509 PEM 공개 키 인증서의 텍스트 표현을 포함해야 합니다. 예를 들어, .gitlab-ci.yml 파일에서 이 값을 구성하려면 다음을 사용하세요.

variables:
  ADDITIONAL_CA_CERT_BUNDLE: |
      -----BEGIN CERTIFICATE-----
      MIIGqTCCBJGgAwIBAgIQI7AVxxVwg2kch4d56XNdDjANBgkqhkiG9w0BAQsFADCB
      ...
      jWgmPqF3vUbZE0EyScetPJquRFRKIesyJuBFMAs=
      -----END CERTIFICATE-----

ADDITIONAL_CA_CERT_BUNDLE 값은 프로젝트의 사용자 정의 변수로도 구성할 수 있습니다. 이때 file로 구성하면 인증서의 경로가 필요하고, 변수로 구성하면 인증서의 텍스트 표현이 필요합니다.

도커 이미지

다음은 Docker 이미지 관련 CI/CD 변수입니다.

취약점 필터

일부 분석기는 특정 임계값 이하의 취약점을 필터링할 수 있습니다.

분석기 설정

일부 분석기는 CI/CD 변수로 사용자 정의할 수 있습니다.

보안 스캐너 구성

SAST 분석기는 내부적으로 OSS 보안 스캐너를 사용하여 분석을 수행합니다. 보안 스캐너의 권장 구성을 설정하여 튜닝에 대해 걱정할 필요가 없도록 합니다. 그러나 기본 스캐너 구성이 요구 사항에 맞지 않는 드문 경우도 있을 수 있습니다.

스캐너 동작에 일부 사용자 정의를 추가하려면 기본 스캐너에 제한된 집합의 플래그를 추가할 수 있습니다. 이러한 플래그를 SAST_SCANNER_ALLOWED_CLI_OPTS CI/CD 변수에 지정하십시오. 이러한 플래그는 스캐너의 CLI 옵션에 추가됩니다.

사용자 정의 CI/CD 변수

앞서 설명한 SAST 구성 CI/CD 변수에 추가로 사용자 정의 변수는 사용중인 SAST 분석기 이미지로 전파됩니다.만약 SAST vendor 템플릿을 사용하는 경우입니다.

실험적 기능

실험적 기능에 빨리 액세스할 수 있습니다. 실험적 기능은 언제든지 추가, 제거 또는 일반 기능으로 승격 될 수 있습니다.

사용 가능한 실험적 기능은 다음과 같습니다:

• MobSF analyzer를 사용하여 iOS 및 Android 앱을 스캔합니다. 이는 Xcode 프로젝트, Android 매니페스트 파일, .ipa(iOS) 및 .apk(Android) 바이너리 파일의 자동 감지 및 스캔을 포함합니다.

이전에 실험적이었지만, 이제 일반적으로 사용 가능한 기능은 다음과 같습니다:

• Semgrep analyzer의 eslint.detect-object-injection 비활성화. 이것은 거짓 긍정률을 높이므로 기본적으로 비활성화되었습니다. 15.10.

실험적 기능 활성화

실험적 기능을 활성화하려면 다음을 .gitlab-ci.yml 파일에 추가하십시오:

include:
  - template: Jobs/SAST.gitlab-ci.yml

variables:
  SAST_EXPERIMENTAL_FEATURES: "true"

오프라인 환경에서 SAST 실행

인터넷을 통해 외부 리소스에 접근이 제한되거나 끊겨 있는 환경에서 Self-Managed형 GitLab 인스턴스에 대해 SAST 작업이 성공적으로 실행되려면 일부 조정이 필요합니다. 자세한 정보는 오프라인 배포를 참조하십시오.

오프라인 SAST 요구 사항

오프라인 환경에서 SAST를 사용하려면 다음이 필요합니다:

• docker 또는 kubernetes executor를 사용하는 GitLab Runner
• 지역에서 사용 가능한 SAST analyzers 이미지의 Docker 컨테이너 레지스트리
• 패키지의 인증서 확인 구성(옵션)

GitLab Runner는 기본적으로 always의 pull_policy를 갖습니다, 즉 러너는 로컬 복사본이 있는 경우에도 GitLab 컨테이너 레지스트리에서 Docker 이미지를 끌려고 시도합니다. 오프라인 환경에서는 로컬로 사용 가능한 Docker 이미지만 사용하는 경우 GitLab Runner의 pull_policy를 if-not-present로 설정할 수 있습니다. 그러나 CI/CD 파이프라인에서 업데이트된 스캐너를 사용하려면 오프라인 환경이 아닌 경우에도 always로 pull policy 설정을 유지하는 것이 좋습니다.

Docker 레지스트리 내에서 GitLab SAST analyzer 이미지 사용 가능하게 만들기

모든 지원되는 언어 및 프레임워크를 통해 SAST를 사용하려면 다음 기본 SAST 분석기 이미지를 registry.gitlab.com에서 로컬 Docker 컨테이너 레지스트리로 가져와야 합니다.

registry.gitlab.com/security-products/kubesec:5
registry.gitlab.com/security-products/pmd-apex:5
registry.gitlab.com/security-products/semgrep:5
registry.gitlab.com/security-products/sobelow:5
registry.gitlab.com/security-products/spotbugs:5

Docker 이미지를 로컬 오프라인 Docker 레지스트리로 가져오는 프로세스는 네트워크 보안 정책에 따라 다릅니다. 외부 리소스를 가져오거나 일시적으로 액세스하는 것이 허용되는 승인된 프로세스를 찾기 위해 IT 직원에게 상담하십시오. 이러한 스캐너는 주기적으로 업데이트되며 가끔은 직접 업데이트를 수행할 수 있습니다.

Docker 이미지를 파일로 저장하고 전송하는 방법에 대한 자세한 내용은 Docker 문서의 docker save, docker load, docker export, 및 docker import를 참조하십시오.

사용자 지정 인증 기관(CA) 지원이 필요한 경우

사용자 지정 인증 기관 지원은 다음 버전에서 소개되었습니다.

1. 이러한 분석기는 GitLab 15.4에서 End of Support에 도달했습니다.

로컬 SAST 분석기 사용을 위한 SAST CI/CD 변수 설정

다음 구성을 .gitlab-ci.yml 파일에 추가하십시오. SECURE_ANALYZERS_PREFIX를 로컬 도커 컨테이너 레지스트리로 대체해야 합니다.

include:
  - template: Jobs/SAST.gitlab-ci.yml

variables:
  SECURE_ANALYZERS_PREFIX: "localhost:5000/analyzers"

이제 SAST 작업은 로컬 복사본의 SAST 분석기를 사용하여 코드를 스캔하고 인터넷 액세스 없이 보안 보고서를 생성해야 합니다.

패키지의 인증서 검사 구성

SAST 작업이 패키지 관리자를 호출하는 경우 해당 인증서를 확인해야 합니다. 오프라인 환경에서는 외부 소스의 인증서 확인이 불가능합니다. 자체 서명된 인증서를 사용하거나 인증서 확인을 비활성화해야 합니다. 패키지 관리자의 설명서를 참조하여 지침을 확인하십시오.

SELinux에서 SAST 실행

기본적으로 GitLab 인스턴스에서 SELinux를 호스팅하는 경우 SAST 분석기가 지원됩니다. SAST 작업 재정의에서 before_script를 추가하는 것은 SELinux에서 호스팅되는 러너가 제한된 권한을 갖기 때문에 작동하지 않을 수 있습니다.