• 취약점 보고서 보기
• 취약점 필터링
  • 취약점 필터링
  • 도구 필터
  • 프로젝트 필터
  • 활동 필터
• 취약점 그룹화
  • 취약점 그룹화
• 취약점의 세부 정보 보기
• 취약점의 상태 변경
  • 해결된 취약점 업데이트
• 감지 날짜별로 취약점 정렬
• 취약점 세부정보 내보내기
  • CSV 형식으로 세부정보 내보내기
• 취약점 수동으로 추가
• 운영 취약점

취약점 보고서

취약점 보고서는 기본 브랜치의 스캔으로부터의 취약점에 관한 정보를 제공합니다. 이는 파이프라인이 성공적이었는지 여부에 상관없이 모든 성공적인 작업의 누적 결과를 포함합니다. 파이프라인에서의 스캔 결과는 파이프라인의 작업이 완료된 후에 또는 파이프라인이 수동 작업으로 차단된 경우에 처리됩니다.

개요는 취약점 관리를 참조하세요.

모든 수준에서 취약점 보고서에는 다음이 포함됩니다:

• 심각도 수준별 취약점의 총계.
• 일반 취약점 속성에 대한 필터.
• 각 취약점의 세부 정보는 테이블 레이아웃으로 제공됩니다. 일부 취약점의 경우 기본 브랜치의 관련 파일 및 행 번호로 이동할 수 있는 링크가 포함됩니다.

프로젝트 수준에서 취약점 보고서에는 다음도 포함됩니다:

• 최신 파이프라인으로 업데이트된 시간을 보여주는 타임스탬프가 포함되어 있습니다.
• 최근 파이프라인에서 발생한 실패 횟수가 포함되어 있습니다. 실패 알림을 선택하여 파이프라인 페이지의 Failed jobs 탭을 확인하세요.

활동 열에는 해당 행의 취약점에 대해 취해진 활동(있는 경우)을 나타내는 아이콘이 포함되어 있습니다:

• 이슈 {이슈}: 취약점에 대해 생성된 이슈로 연결됩니다. 자세한 정보는 취약점을 위한 GitLab 이슈 생성을 참조하세요.
• 머지 리퀘스트 {머지-리퀘스트}: 취약점에 대해 생성된 머지 리퀘스트로 연결됩니다. 자세한 정보는 머지 리퀘스트로 취약점 해결을 참조하세요.
• 체크드 서클 {확인된-서클}: 취약점이 해결되었습니다.
• 잘못된 양성 : 스캐너는 해당 취약점을 잘못된 양성으로 결정했습니다.
• 솔루션 {전구}: 취약점에 대한 해결책이 제공됨을 나타냅니다.

취약점에 대해 생성된 이슈를 열려면 활동 항목 위로 마우스를 가져가고, 그런 다음 링크를 선택하세요. 이슈 아이콘({이슈})은 이슈의 상태를 나타냅니다. Jira 이슈 지원이 활성화된 경우, 활동 항목에 있는 이슈 링크는 Jira의 이슈로 이동합니다. GitLab 이슈와 달리, Jira 이슈의 상태는 GitLab UI에 표시되지 않습니다.

취약점이 다중 프로젝트 파이프라인 설정에서 비롯된 경우, 이 페이지에는 선택한 프로젝트에서 비롯된 취약점이 표시됩니다.

취약점 보고서 보기

프로젝트 또는 그룹의 모든 취약점을 나열하기 위해 취약점 보고서를 확인하세요.

요구 사항:

• 프로젝트 또는 그룹에 대한 최소한의 Developer 역할이 있어야 합니다.

취약점 보고서를 보려면:

1. 왼쪽 사이드바에서 검색 또는 이동을 선택하고 프로젝트 또는 그룹을 찾습니다.
2. Secure > 취약점 보고서를 선택합니다.

취약점 필터링

취약점 보고서에서 취약점을 보다 효율적으로 분류하기 위해 취약점을 필터링할 수 있습니다.

다음과 같이 필터링할 수 있습니다:

• 상태: 취약점 상태가 트리지가 필요한지, 확인된지, 해제된지, 해결된지 여부에 따라 필터링할 수 있습니다. 각 상태의 자세한 내용은 취약점 상태 값을 참조하세요.
• 심각도: 심각하게, 높음, 중간, 낮음, 정보, 알 수 없음.
• 도구: 자세한 내용은 도구 필터를 참조하세요.
• 활동: 자세한 내용은 활동 필터를 참조하세요.
• 프로젝트: 특정 프로젝트의 취약점을 필터링할 수 있습니다(그룹에서만 사용 가능).

취약점 필터링

• GitLab 16.9에서 개선된 필터링 소개됨. 기본값으로 사용 안 함.
• GitLab 17.1에서 GitLab.com, 자체 관리형, GitLab Dedicated에서 활성화됨.

취약점 보고서를 필터링하여 취약점 하위 집합에 집중할 수 있습니다.

취약점 목록을 필터링하려면:

1. 왼쪽 사이드바에서 검색 또는 이동을 선택하고 프로젝트를 찾습니다.
2. Secure > 취약점 보고서를 선택합니다.
3. 원하는 필터를 제거하려면 선택적으로 Clear()를 선택합니다.
4. 취약점 목록 위에 필터 바를 선택합니다.
5. 나타나는 드롭다운 목록에서 필터링하려는 속성을 선택하고, 드롭다운 목록에서 값을 선택합니다.
6. 필터 필드 바깥을 선택합니다. 취약점 심각도 총계 및 일치하는 취약점 목록이 업데이트됩니다.
7. 여러 속성으로 필터링하려면 이전 세 단계를 반복합니다. 여러 속성은 논리 AND로 결합됩니다.

도구 필터

• 프로젝트용으로 GitLab 16.6에서 도입.

도구가 감지한 취약점에 따라 취약점을 필터링할 수 있습니다. 기본적으로 취약점 보고서는 모든 도구에서 발생한 취약점을 나열합니다. 사용 가능한 각 도구의 자세한 정보는 보안 스캔 도구를 참조하세요.

수동으로 추가된 속성을 사용하여 수동으로 추가된 취약점을 필터링할 수 있습니다.

GitLab 17.1 이상에서는 그룹과 프로젝트 간에 도구 필터의 내용이 다릅니다:

• 그룹의 경우, 도구 필터는 개별 도구를 나열합니다.
• 프로젝트의 경우, 도구 필터는 스캐닝 범주별로 도구를 그룹화합니다.

GitLab 16.6에서 17.0까지 그룹과 프로젝트 간에 도구 필터의 내용이 다릅니다:

• 그룹의 경우, 도구 필터는 개별 도구를 나열합니다.
• 프로젝트의 경우, 개발자 도구가 없는 경우 개별 도구를 나열합니다. 3rd party 도구가 있는 경우, 도구 필터는 스캐닝 범주별로 도구를 그룹화합니다.

GitLab 16.5 이하에서 도구 필터는 공급 업체별로 도구를 그룹화합니다. GitLab 분석기만 사용 가능한 경우 해당 분석기만 나열됩니다.

프로젝트 필터

프로젝트 필터의 내용은 현재 레벨에 따라 달라집니다:

• 보안 센터: 개인 보안 센터에 추가한 프로젝트만 표시됩니다.
• 그룹 레벨: 그룹 내 모든 프로젝트가 표시됩니다.
• 프로젝트 레벨: 해당되지 않습니다.

활동 필터

• GitLab 16.7에서 activity_filter_has_remediations이라는 플래그로 도입되었습니다. 기본적으로 비활성화되어 있습니다.
• GitLab 16.9에서 일반적으로 사용 가능합니다. 피쳐 플래그 activity_filter_has_remediations가 제거되었습니다.

활동 필터는 다른 필터와는 다르게 작동합니다. 각 범주에서 하나의 값을 선택할 수 있습니다. 필터를 제거하려면 활동 필터 드롭다운 목록에서 제거하려는 필터를 선택하면 됩니다.

활동 필터를 사용할 때의 선택 동작:

• 활동
  • 모든 활동: 모든 활동 상태의 취약점(이 필터를 무시한 것과 동일함)를 선택합니다. 이를 선택하면 다른 활동 필터 옵션이 모두 선택 해제됩니다.
• 검출
  • 아직 검출됨 (기본값): default 브랜치의 최신 파이프라인 스캔에서 아직 검출된 취약점을 선택합니다.
  • 더 이상 검출되지 않음: default 브랜치의 최신 파이프라인 스캔에서 더 이상 검출되지 않은 취약점을 선택합니다.
• 이슈
  • 이슈가 있음: 하나 이상의 관련된 이슈가 있는 취약점을 선택합니다.
  • 이슈가 없음: 관련된 이슈가 없는 취약점을 선택합니다.
• 병합 요청
  • 병합 요청이 있음: 하나 이상의 관련된 병합 요청이 있는 취약점을 선택합니다.
  • 병합 요청이 없음: 관련된 병합 요청이 없는 취약점을 선택합니다.
• 솔루션 사용 가능
  • 해결 방법이 있음: 사용 가능한 해결 방법이 있는 취약점을 선택합니다.
  • 해결 방법이 없음: 사용 가능한 해결 방법이 없는 취약점을 선택합니다.

취약점 그룹화

• GitLab 16.4에서 vulnerability_report_grouping이라는 플래그로 프로젝트 수준의 취약점 그룹화 도입되었습니다. 기본적으로 비활성화되어 있습니다.
• GitLab 16.5에서 Self-Managed 및 GitLab Dedicated에서 프로젝트 수준의 취약점 그룹화가 활성화되었습니다.
• GitLab 16.6에서 일반적으로 사용 가능합니다. 피쳐 플래그 vulnerability_report_grouping가 제거되었습니다.
• GitLab 16.7에서 group_level_vulnerability_report_grouping이라는 플래그로 그룹 수준의 취약점 그룹화 도입되었습니다. 기본적으로 비활성화되어 있습니다.
• GitLab 17.2에서 GitLab.com, Self-Managed, 및 GitLab Dedicated에서 그룹 수준의 취약점 그룹화가 활성화되었습니다.
• GitLab 17.3에서 일반적으로 사용 가능합니다. 피쳐 플래그 group_level_vulnerability_report_grouping가 제거되었습니다.

취약점 보고서 페이지에서 취약점을 더 효율적으로 분류할 수 있습니다.

다음과 같이 그룹화할 수 있습니다:

• 상태
• 심각도
• 도구
• OWASP Top 10 2017

취약점 그룹화

취약점 보고서 페이지에서 취약점을 더 효율적으로 분류할 수 있습니다.

취약점을 그룹화하려면:

1. 왼쪽 사이드바에서 검색 또는 이동을 선택하여 프로젝트 또는 그룹을 찾습니다.
2. 보안 > 취약점 보고서를 선택합니다.
3. 그룹화 기준 드롭다운 목록에서 그룹을 선택합니다.

취약점은 선택한 그룹에 따라 그룹화됩니다. 각 그룹은 축소되어 있으며 그룹별 취약점의 총 수가 이름 옆에 표시됩니다. 각 그룹의 취약점을 보려면 그룹 이름을 선택합니다.

취약점의 세부 정보 보기

취약점의 세부 정보를 보려면 취약점의 Description을 선택합니다. 취약점의 자세한 내용 페이지가 열립니다.

취약점의 상태 변경

• GitLab 16.0에서 코멘트 및 해제 이유 제공가 도입되었습니다.

취약점을 분석하여 상태를 변경할 수 있으며, 여기에는 취약점을 해제하는 것도 포함됩니다.

취약점이 해제되면, 감사 로그에 누가 해제했는지, 언제 해제되었는지, 그리고 해제된 이유가 기록됩니다. 취약점 레코드는 삭제할 수 없으므로 영구 기록이 남습니다.

전제 조건:

• 해당 프로젝트에 적어도 Maintainer 역할이 있어야 합니다. GitLab 17.0에서 Developer 역할에서 admin_vulnerability 권한이 제거되었습니다.

취약점의 상태를 변경하려면:

1. 왼쪽 사이드바에서 검색 또는 이동을 선택하여 프로젝트를 찾습니다.
2. 보안 > 취약점 보고서를 선택합니다.
3. 선택 방법:
   • 하나 이상의 취약점을 선택하려면 각 취약점 옆의 확인란을 선택합니다.
   • 페이지의 모든 취약점을 선택하려면 테이블 헤더의 확인란을 선택합니다.
4. 상태 설정 드롭다운 목록에서 원하는 상태를 선택합니다.
5. 해제 상태를 선택한 경우, 해제 이유 설정 드롭다운 목록에서 원하는 이유를 선택합니다.
6. 코멘트 추가 입력란에 코멘트를 작성할 수 있습니다. 해제 상태인 경우 코멘트가 필요합니다.
7. 상태 변경을 선택합니다.

선택한 취약점의 상태가 업데이트되며 취약점 보고서의 내용이 새로고침됩니다.

해결된 취약점 업데이트

취약점이 병합 요청(Merge Request)에 의해 해결되더라도 취약점 보고서에 여전히 표시됩니다.

취약점을 업데이트하려면:

1. 해결된 취약점이 더 이상 감지되지 않음 상태인지 확인합니다. 취약점의 상태는 활동 필터와 취약점 레코드에 표시됩니다.
2. 취약점의 상태를 해결됨으로 변경합니다.

감지 날짜별로 취약점 정렬

기본적으로 취약점은 심각도 수준별로 정렬되어 최고 심각도의 취약점이 맨 위에 표시됩니다.

각 취약점이 감지된 날짜별로 취약점을 정렬하려면 “감지됨” 열 제목을 선택합니다.

취약점 세부정보 내보내기

• GitLab 16.8에서 도입된 CSV 내보내기에 “거부 이유” 컬럼이 추가되었습니다.

취약점 보고서에 나열된 취약점의 세부정보를 내보낼 수 있습니다. 내보내기 형식은 CSV(쉼표로 구분된 값)입니다. 모든 필터가 내보내기에 적용되지 않으므로 모든 취약점이 포함됩니다.

포함된 필드는 다음과 같습니다:

• 상태(상태 값의 내보내기 방법에 대한 자세한 내용은 다음 표 참조)
• 그룹 이름
• 프로젝트 이름
• 도구
• 스캐너 이름
• 취약점
• 기본 세부정보
• 추가 정보
• 심각도
• CVE(Common Vulnerabilities and Exposures)
• CWE(Common Weakness Enumeration)
• 기타 식별자
• 감지된 시간
• 위치
• 활동: 취약점이 기본 브랜치에서 해결되면 true를 반환하고, 그렇지 않으면 false를 반환합니다.
• 코멘트
• 전체 경로
• CVSS 벡터
• 거부 이유

참고: 모든 세부 정보는 Job Artifacts API를 통해 이용할 수 있습니다. 예를 들어, 취약점이 감지된 파일의 경로를 얻으려면 *artifact_path 자리에 gl-*-report.json 보고서 파일 이름 중 하나를 사용합니다.

취약점 보고서에 표시된 상태 필드의 값은 취약점 내보내기에 포함된 값과 다릅니다. 일치시키기 위해 다음 참조 표를 사용합니다.

CSV 형식으로 세부정보 내보내기

취약점 보고서에 나열된 모든 취약점의 세부정보를 내보내려면 내보내기를 선택합니다.

세부 정보는 데이터베이스에서 검색한 후 CSV 파일이 로컬 컴퓨터로 다운로드됩니다.

참고: 프로젝트에 수천 개의 취약점이 있으면 다운로드가 시작되기까지 몇 분이 걸릴 수 있습니다. 다운로드가 완료될 때까지 페이지를 닫지 마십시오. 일부 CSV 리더는 행 수나 열 크기의 제한으로 큰 내보내기와 호환되지 않을 수 있습니다. 취약점 내보내기는 개별 프로그램의 제한을 고려하지 않습니다.

취약점 수동으로 추가

• GitLab 15.0에서 제거된 기능 플래그 new_vulnerability_form입니다.

GitLab 취약점 데이터베이스에 없는 경우 수동으로 취약점을 추가할 수 있습니다. 취약점은 프로젝트의 취약점 보고서에만 추가할 수 있습니다.

취약점을 수동으로 추가하려면:

1. 왼쪽 사이드바에서 검색 또는 이동을 선택하여 프로젝트를 찾습니다.
2. 보안 > 취약점 보고서를 선택합니다.
3. 취약점 제출을 선택합니다.
4. 필드를 작성하고 양식을 제출합니다.

새로 생성된 취약점의 세부페이지가 열립니다.

운영 취약점

운영 취약점 탭은 운영 컨테이너 검사에서 찾은 취약점을 나열합니다. 이 탭은 프로젝트, 그룹 및 보안 센터 취약점 보고서에 나타납니다.