GitLab 보안 대시보드 및 보안 센터
보안 대시보드
보안 대시보드는 여러분의 애플리케이션 보안 태세를 평가하는 데 사용됩니다. GitLab은 프로젝트에서 실행된 보안 스캐너로 감지된 취약점에 대한 메트릭, 등급 및 차트 모음을 제공합니다. 보안 대시보드는 다음과 같은 데이터를 제공합니다:
- 그룹 내 모든 프로젝트에 대해 30일, 60일 또는 90일 기간 동안의 취약점 추세
- 취약점 심각도에 따른 각 프로젝트의 등급
- 지난 365일 동안 감지된 총 취약점 수 및 해당 심각도
보안 대시보드에서 제공하는 데이터는 보안 태세를 개선하기 위해 어떤 결정을 내릴 수 있을지에 대한 통찰력을 제공합니다. 예를 들어, 365일 추세 보기를 사용하면 특정 날에 얼마나 많은 취약점이 도입되었는지를 확인할 수 있습니다. 그런 다음 이 특정 날에 수행된 코드 변경 사항을 검토하여 근본 원인 분석을 수행하고 향후 취약점 도입을 방지하기 위한 더 나은 정책을 만들 수 있습니다.
개요는 보안 대시보드를 참조하세요.
가치 흐름 대시보드의 취약점 메트릭
- GitLab 16.0에 소개됨.
취약점 메트릭은 여러분의 조직의 소프트웨어 배포 워크플로우 맥락에서 보안 노출을 이해하는 데 도움이 되는 가치 흐름 대시보드 비교 패널에서도 볼 수 있습니다.
전제 조건
보안 대시보드를 보려면 다음이 필요합니다:
- 그룹 또는 프로젝트에 대한 개발자 역할이 있어야 합니다.
- 프로젝트 내에 구성된 최소 하나의 보안 스캐너가 있어야 합니다.
- 프로젝트의 기본 브랜치에서 성공적인 보안 스캔이 수행되어야 합니다.
- 프로젝트에서 최소 1개의 감지된 취약점이 있어야 합니다.
참고:
보안 대시보드는 기본 브랜치에서 가장 최근에 완료된 파이프라인의 스캔 결과를 보여줍니다. 대시보드는 기본 브랜치에서 실행된 완료된 파이프라인의 결과로 업데이트되며, 다른 비 병합 브랜치에서 발견된 취약점은 포함되지 않습니다.
보안 대시보드 보기
보안 대시보드는 프로젝트, 그룹 및 보안 센터 수준에서 볼 수 있습니다. 각 대시보드는 여러분의 보안 태세에 대한 고유한 관점을 제공합니다.
프로젝트 보안 대시보드
프로젝트 보안 대시보드는 주어진 프로젝트에 대해 시간 경과에 따른 총 감지된 취약점 수를 보여주며, 최대 365일의 기록 데이터를 제공합니다. 대시보드는 기본 브랜치에서 열린 취약점에 대한 역사적 보기입니다. 열린 취약점은 Needs triage 또는 Confirmed 상태만 해당하며 (Dismissed 또는 Resolved 취약점은 제외됨).
프로젝트의 보안 대시보드를 보려면:
- 왼쪽 사이드바에서 Search or go to를 선택하고 프로젝트를 찾습니다.
- Secure > Security dashboard를 선택합니다.
- 필요에 따라 필터링하고 검색합니다.
- 심각도에 따라 차트를 필터링하려면 전설 이름을 선택합니다.
- 특정 기간을 보려면 시간 범위 핸들을 사용합니다 ().
- 차트의 특정 영역을 보려면 가장 왼쪽 아이콘 ()을 선택하고 차지를 드래그합니다.
- 원래 범위로 재설정하려면 제거 선택 ()를 선택합니다.
취약점 차트 다운로드
문서 관리, 프레젠테이션 등에 사용할 취약점 차트 이미지 를 프로젝트 보안 대시보드에서 다운로드할 수 있습니다. 취약점 차트 이미지를 다운로드하려면:
- 왼쪽 사이드바에서 Search or go to를 선택하고 프로젝트를 찾습니다.
- Secure > Security dashboard를 선택합니다.
- Save chart as an image ()를 선택합니다.
그런 다음 SVG 형식으로 이미지를 다운로드하라는 메시지가 표시됩니다.
그룹 보안 대시보드
그룹 보안 대시보드는 그룹 및 하위 그룹의 모든 프로젝트의 기본 브랜치에서 발견된 취약점에 대한 개요를 제공합니다. 그룹 보안 대시보드는 다음을 제공합니다:
- 30일, 60일 또는 90일 기간 동안의 취약점 추세
- 각 프로젝트의 가장 높은 심각도 열려 있는 취약점에 따라 부여되는 서신 등급. 서신 등급은 다음 기준을 사용하여 부여됩니다:
| 등급 | 설명 |
|---|---|
| F | 하나 이상의 critical 취약점 |
| D | 하나 이상의 high 또는 unknown 취약점 |
| C | 하나 이상의 medium 취약점 |
| B | 하나 이상의 low 취약점 |
| A | 취약점 없음 |
그룹 보안 대시보드를 보려면:
- 왼쪽 사이드바에서 Search or go to를 선택하고 그룹을 찾습니다.
- Security > Security dashboard를 선택합니다.
-
Vulnerabilities over time 차트 위에 마우스를 올려 취약점에 대한 자세한 정보를 확인합니다.
- 30일, 60일 또는 90일 기간 동안의 취약점 추세를 표시할 수 있습니다(기본값은 90일입니다).
- 90일 이상의 집계 데이터를 보려면 VulnerabilitiesCountByDay GraphQL API를 사용하세요. GitLab은 365일 동안 데이터를 유지합니다.
-
Project security status 섹션 아래의 화살표를 선택하여 특정 서신 등급에 해당하는 프로젝트를 확인합니다:
- 특정 심각도의 취약점이 프로젝트에서 얼마나 발견되었는지 확인할 수 있습니다.
- 프로젝트의 이름을 선택하여 해당 프로젝트 보안 대시보드에 직접 접근할 수 있습니다.
보안 센터
보안 센터는 소속된 모든 프로젝트에 걸친 취약점을 볼 수 있는 구성 가능한 개인 공간입니다. 보안 센터에는 다음이 포함됩니다:
- 그룹 보안 대시보드
- 취약점 보고서
- 표시할 프로젝트를 구성하는 설정 영역
보안 센터 보기
보안 센터를 보려면:
- 왼쪽 사이드바에서 Search or go to를 선택합니다.
- Your work를 선택합니다.
- Security > Security dashboard를 선택합니다.
보안 센터는 기본적으로 비어 있습니다. 하나 이상의 보안 스캐너로 구성된 프로젝트를 추가해야 합니다.
보안 센터에 프로젝트 추가
보안 센터에 프로젝트를 추가하려면:
- 왼쪽 사이드바에서 Search or go to를 선택합니다.
- Your work를 선택합니다.
- Security를 확장합니다.
- Settings를 선택합니다.
- Search your projects 텍스트 박스를 사용하여 프로젝트를 검색하고 선택합니다.
- Add projects를 선택합니다.
프로젝트를 추가한 후, 보안 대시보드와 취약점 보고서는 해당 프로젝트의 기본 브랜치에서 발견된 취약점을 보여줍니다. 최대 1,000개의 프로젝트를 추가할 수 있지만 Vulnerability Report의 Project 필터는 100개의 프로젝트로 제한됩니다.
도움말