GitLab 보안 대시보드 및 보안 센터

Tier: Ultimate Offering: GitLab.com, Self-managed, GitLab Dedicated

보안 대시보드

보안 대시보드는 애플리케이션의 보안 포지션을 평가하는 데 사용됩니다. GitLab은 프로젝트에서 실행된 보안 스캐너에서 감지된 취약점에 대한 메트릭, 등급 및 차트를 제공합니다. 보안 대시보드는 다음과 같은 데이터를 제공합니다.

  • 그룹 내 모든 프로젝트에 대한 30, 60 또는 90일 동안의 취약점 트렌드
  • 취약점 심각도에 따른 각 프로젝트의 등급
  • 지난 365일 동안 감지된 취약점의 총 수 및 심각도

보안 대시보드에서 제공하는 데이터를 활용하여 보안 포지션을 개선하기 위한 의사 결정을 내릴 수 있습니다. 예를 들어, 365일 동안의 트렌드를 살펴보면 취약점이 많이 도입된 날짜를 확인할 수 있습니다. 그런 다음 해당 날짜에 수행된 코드 변경을 조사하여 미래에 취약점이 도입되는 것을 방지하기 위한 정책을 개선하는 데 도움이 됩니다.

개요는 보안 대시보드를 참조하세요.

가치 스트림 대시보드의 취약점 메트릭

  • GitLab 16.0에서 도입됨.

조직의 소프트웨어 전달 워크플로의 맥락에서 보안 노출을 이해하는 데 도움이 되는 가치 스트림 대시보드 비교 패널에서도 취약점 메트릭을 볼 수 있습니다.

사전 요구 사항

보안 대시보드를 보려면 다음이 필요합니다.

  • 그룹 또는 프로젝트에 개발자 역할이 있어야 합니다.
  • 프로젝트에서 적어도 하나의 보안 스캐너가 구성되어 있어야 합니다.
  • 프로젝트의 기본 브랜치에서 성공적인 보안 스캔을 수행했어야 합니다.
  • 프로젝트에서 적어도 1개의 감지된 취약점이 있어야 합니다.

참고: 보안 대시보드는 기본 브랜치에서 가장 최근에 완료된 파이프라인의 스캔 결과를 보여줍니다. 대시보드는 기본 브랜치에서 실행된 완료된 파이프라인의 결과로 업데이트됩니다. 다른 병합되지 않은 브랜치에서 발견된 취약점은 포함되지 않습니다.

보안 대시보드 보기

보안 대시보드는 프로젝트, 그룹 및 보안 센터 수준에서 볼 수 있습니다. 각 대시보드는 고유한 시각적으로 보안 포지션을 제시합니다.

프로젝트 보안 대시보드

프로젝트 보안 대시보드는 특정 프로젝트의 지난 365일 동안의 열린 취약점에 대한 기록을 보여줍니다. 열린 취약점은 Needs triage 또는 Confirmed 상태의 것만 포함됩니다(Dismissed 또는 Resolved 취약점은 제외됨).

프로젝트 보안 대시보드 보기:

  1. 왼쪽 사이드바에서 검색 또는 이동을 선택하고 프로젝트를 찾습니다.
  2. Secure > 보안 대시보드를 선택합니다.
  3. 원하는 내용을 필터링하고 검색합니다.
    • 심각도에 따라 차트를 필터링하려면 범례 이름을 선택합니다.
    • 특정 시간 범위를 보려면 시간 범위 핸들을 사용합니다().
    • 차트의 특정 영역을 보려면 가장 왼쪽에 있는 아이콘()을 선택하고 차트 위로 드래그합니다.
    • 원래 범위로 재설정하려면 Remove Selection()을 선택합니다.

프로젝트 보안 대시보드

취약점 차트 다운로드

프로젝트 보안 대시보드에서 취약점 차트의 이미지를 다운로드하여 문서, 프레젠테이션 등에 사용할 수 있습니다. 취약점 차트의 이미지를 다운로드하려면:

  1. 왼쪽 사이드바에서 검색 또는 이동을 선택하고 프로젝트를 찾습니다.
  2. Secure > 보안 대시보드를 선택합니다.
  3. Save chart as an image()을 선택합니다.

그럼 SVG 형식으로 이미지를 다운로드하라는 메시지가 표시됩니다.

그룹 보안 대시보드

그룹 보안 대시보드는 그룹 및 해당 서브그룹의 모든 프로젝트의 기본 브랜치에서 발견된 취약점에 대한 개요를 제공합니다. 그룹 보안 대시보드는 다음을 제공합니다.

  • 30, 60 또는 90일 동안의 취약점 트렌드
  • 그룹 내 각 프로젝트에 대한 최고 심각도 취약점에 따른 등급 등급은 다음 기준에 따라 할당됩니다:
등급 설명
F 하나 이상의 critical 취약점
D 하나 이상의 high 또는 unknown 취약점
C 하나 이상의 medium 취약점
B 하나 이상의 low 취약점
A 취약점이 없음

그룹 보안 대시보드 보기:

  1. 왼쪽 사이드바에서 검색 또는 이동을 선택하고 그룹을 찾습니다.
  2. Security > 보안 대시보드를 선택합니다.
  3. 취약점에 대한 세부정보를 확인하려면 Vulnerabilities over time 차트 위로 가리키세요.
    • 30, 60 또는 90일 동안의 취약점 트렌드를 볼 수 있습니다(기본값은 90일).
    • 90일을 넘는 집계 데이터를 보려면 VulnerabilitiesCountByDay GraphQL API를 사용하세요. GitLab은 365일 동안 데이터를 보관합니다.
  4. 프로젝트 보안 상태 섹션 아래의 화살표를 선택하여 특정 등급에 해당하는 프로젝트를 확인하세요:
    • 특정 심각도의 취약점 수를 확인할 수 있습니다.
    • 프로젝트의 이름을 선택하여 해당 프로젝트의 보안 대시보드에 직접 액세스할 수 있습니다.

그룹 보안 대시보드

보안 센터

보안 센터는 구성 가능한 개인 공간으로, 소속된 모든 프로젝트에서 취약점을 볼 수 있습니다. 보안 센터에는 다음이 포함됩니다.

  • 그룹 보안 대시보드
  • 취약점 보고서
  • 표시할 프로젝트를 구성하는 설정 영역

보안 센터 보기

보안 센터를 보려면:

  1. 왼쪽 사이드바에서 검색 또는 이동을 선택합니다.
  2. Your work를 선택합니다.
  3. Security > Security dashboard를 선택합니다.

기본적으로 보안 센터에는 아무 것도 표시되지 않습니다. 적어도 하나의 보안 스캐너가 구성된 프로젝트를 추가해야 합니다.

보안 센터에 프로젝트 추가하기

보안 센터에 프로젝트를 추가하려면:

  1. 왼쪽 사이드바에서 검색 또는 이동을 선택합니다.
  2. 나의 작업을 선택합니다.
  3. 보안을 확장합니다.
  4. 설정을 선택합니다.
  5. 프로젝트 검색 텍스트 상자를 사용하여 프로젝트를 검색하고 선택합니다.
  6. 프로젝트 추가를 선택합니다.

프로젝트를 추가한 후에는 보안 대시보드 및 취약점 보고서에서 해당 프로젝트의 기본 브랜치에서 발견된 취약성이 표시됩니다. 최대 1,000개의 프로젝트를 추가할 수 있지만, 취약점 보고서프로젝트 필터는 100개로 제한됩니다.

관련 주제