GitLab 보안 대시보드 및 보안 센터
보안 대시보드
보안 대시보드는 애플리케이션의 보안 상태를 평가하는 데 사용됩니다. GitLab은 프로젝트에서 실행된 보안 스캐너에서 감지된 취약점에 대한 메트릭, 평가 및 차트를 제공합니다. 보안 대시보드에서 다음과 같은 데이터를 제공합니다:
- 그룹 내 모든 프로젝트에 대한 30, 60 또는 90일 간 취약점 트렌드
- 취약점 심각도에 따른 각 프로젝트의 글자 등급 평가
- 지난 365일에 감지된 취약점의 총 수 및 심각도
보안 대시보드가 제공하는 데이터를 사용하여 보안 상태를 개선하기 위한 의사결정에 도움이 됩니다. 예를 들어, 365일 트렌드 보기를 사용하여 취약점이 도입된 특정 날짜를 확인할 수 있습니다. 그런 다음 향후 취약점 도입을 방지하는 더 나은 정책을 만들기 위해 해당 날짜에 수행된 코드 변경을 조사할 수 있습니다.
개요는 보안 대시보드에서 확인할 수 있습니다.
가치 스트림 대시보드의 취약점 메트릭
- GitLab 16.0에 도입됨.
조직의 소프트웨어 제공 워크플로우 컨텍스트에서 보안 노출을 이해하는 데 도움이 되는 가치 스트림 대시보드 비교 패널에서도 취약점 메트릭을 볼 수 있습니다.
사전 요구 사항
보안 대시보드를 보려면 다음이 필요합니다:
참고: 보안 대시보드는 기본 브랜치에서 가장 최근에 완료된 파이프라인의 스캔 결과를 보여줍니다. 대시보드는 기본 브랜치에서 완료된 파이프라인의 결과로 업데이트됩니다. 다른 Merge되지 않은 브랜치에서 발견된 취약점을 포함하지 않습니다.
보안 대시보드 보기
보안 대시보드는 프로젝트, 그룹 및 보안 센터 수준에서 볼 수 있습니다. 각 대시보드는 보안 상태의 고유한 시각을 제공합니다.
프로젝트 보안 대시보드
프로젝트 보안 대시보드는 특정 프로젝트의 365일 동안의 기록된 데이터를 표시하여 검색하는 데 사용됩니다. 프로젝트 보안 대시보드를 볼 수 있습니다:
- 왼쪽 사이드바에서 검색 또는 이동을 선택하여 프로젝트를 찾습니다.
- Secure > 보안 대시보드를 선택합니다.
- 필요한 내용을 필터링하고 검색합니다.
- 차트를 심각도에 따라 필터링하려면 범례 이름을 선택합니다.
- 특정 시간 범위를 보려면 시간 범위 핸들을 사용합니다 ().
- 차트의 특정 영역을 보려면 가장 왼쪽 아이콘 ()을 선택하고 차트 위를 드래그합니다.
- 원래 범위로 재설정하려면 선택 제거 ()를 선택합니다.
취약점 차트 다운로드
프로젝트 보안 대시보드에서 취약점 차트의 이미지를 문서, 프레젠테이션 등에 사용하기 위해 다운로드할 수 있습니다. 취약점 차트의 이미지를 다운로드하려면:
- 왼쪽 사이드바에서 검색 또는 이동을 선택하여 프로젝트를 찾습니다.
- Secure > 보안 대시보드를 선택합니다.
- 차트 저장 ()를 선택합니다.
그럼 SVG 형식으로 이미지를 다운로드하라는 메시지가 표시됩니다.
그룹 보안 대시보드
그룹 보안 대시보드는 그룹과 해당 서브 그룹의 모든 프로젝트의 기본 브랜치에서 발견된 취약점의 개요를 제공합니다. 그룹 보안 대시보드는 다음을 제공합니다:
- 30, 60 또는 90일간의 취약점 트렌드
- 그룹 내 각 프로젝트에 대한 글자 등급. 글자 등급은 다음 기준을 사용하여 지정됩니다:
| 등급 | 설명 |
|---|---|
| F | 하나 이상의 critical 취약점
|
| D | 하나 이상의 high 또는 unknown 취약점
|
| C | 하나 이상의 medium 취약점
|
| B | 하나 이상의 low 취약점
|
| A | 취약점이 없음 |
그룹 보안 대시보드를 보려면:
- 왼쪽 사이드바에서 검색 또는 이동을 선택하여 그룹을 찾습니다.
- Security > 보안 대시보드를 선택합니다.
-
시간대별 취약점 차트 위로 마우스를 가져가 취약점에 대한 자세한 정보를 확인할 수 있습니다.
- 30, 60, 또는 90일간의 취약점 트렌드를 표시할 수 있습니다 (기본값은 90일).
- 90일 이상의 집계된 데이터를 볼려면 VulnerabilitiesCountByDay GraphQL API를 사용합니다. GitLab은 365일 동안 데이터를 보관합니다.
-
프로젝트 보안 상태 섹션 아래의 화살표를 선택하여 특정 글자 등급에 해당하는 프로젝트를 보실 수 있습니다:
- 특정 심각도의 취약점이 프로젝트에서 얼마나 발견되었는지 확인할 수 있습니다.
- 프로젝트 이름을 선택하여 해당 프로젝트 보안 대시보드로 직접 이동할 수 있습니다.
보안 센터
보안 센터는 소속된 모든 프로젝트에서 발견된 취약점을 볼 수 있는 구성 가능한 개인 공간입니다. 보안 센터에는 다음이 포함됩니다:
- 그룹 보안 대시보드
- 취약점 보고서
- 표시할 프로젝트를 구성하는 설정 영역
보안 센터 보기
보안 센터를 보려면:
- 왼쪽 사이드바에서 검색 또는 이동을 선택합니다.
- 내 업무를 선택합니다.
- Security > 보안 대시보드를 선택합니다.
보안 센터는 기본적으로 비어 있습니다. 적어도 하나의 보안 스캐너로 구성된 프로젝트를 추가해야 합니다.
프로젝트를 보안 센터에 추가
프로젝트를 보안 센터에 추가하려면:
- 왼쪽 사이드바에서 검색 또는 이동을 선택합니다.
- 내 업무를 선택합니다.
- 보안을 확장합니다.
- 설정을 선택합니다.
- 프로젝트 검색 텍스트 상자를 사용하여 프로젝트를 검색하고 선택합니다.
- 프로젝트 추가를 선택합니다.
프로젝트를 추가한 후, 보안 대시보드 및 취약점 보고서는 해당 프로젝트의 기본 브랜치에서 발견된 취약점을 보여줍니다. 최대 1,000개의 프로젝트를 추가할 수 있지만 취약점 보고서의 프로젝트 필터는 100개 프로젝트로 제한됩니다.
도움말