파이프라인의 취약점

Tier: Ultimate Offering: GitLab.com, Self-Managed, GitLab Dedicated

모든 활성화된 보안 분석기가 파이프라인에서 실행되고 결과를 artifacts로 출력합니다. 이러한 artifacts는 중복 제거를 포함한 처리를 거쳐 파이프라인 보안 탭에 결과가 나열됩니다. 파이프라인에서 취약점 결과를 식별함으로써 사전에 위험을 대비할 수 있습니다.

다음 기준이 파이프라인 보안 탭에 적용됩니다:

  • 성공적인 보안 스캔 작업의 결과만 표시됩니다. 예를 들어, 파이프라인에 SAST 및 DAST 작업이 포함되어 있지만 DAST 작업이 실패한다면 SAST 결과만 표시됩니다.
  • 파이프라인에 차단 매뉴얼 작업이 있는 경우, 파이프라인은 매뉴얼 작업을 기다리고 차단 매뉴얼 작업이 실행되지 않으면 취약점을 표시할 수 없습니다.
  • 발견물에는 만료 기간이 있습니다. 만료된 발견물은 파이프라인 보안 탭에 표시되지 않습니다. 자세한 내용은 발견물의 유지 기간을 참조하십시오.

파이프라인에서의 취약점 보기

파이프라인에서 취약점을 보려면 다음 단계를 따릅니다:

  1. 왼쪽 사이드바에서 검색 또는 이동을 선택하여 프로젝트를 찾습니다.
  2. 빌드 > 파이프라인을 선택합니다.
  3. 파이프라인을 선택합니다.
  4. 보안 탭을 선택합니다.

스캔 세부 정보

스캔 세부 정보 섹션에는 파이프라인의 취약점 발견에 대한 요약과 소스 보고서가 표시됩니다.

GitLab은 파이프라인에 있는 각 스캔 유형 artifacts에 대한 정보 행을 표시합니다.

보안 스캔 결과 다운로드

보안 스캐너 유형에 따라 다음을 다운로드할 수 있습니다:

  • 보안 스캐너 보고서가 포함된 JSON artifact입니다.
  • 보안 스캐너에 의해 스캔된 URL 및 엔드포인트를 포함하는 CSV 파일입니다.

보안 스캔 출력을 다운로드하려면 다음을 수행합니다:

  1. 왼쪽 사이드바에서 검색 또는 이동을 선택하여 프로젝트를 찾습니다.
  2. 빌드 > 파이프라인을 선택합니다.
  3. 파이프라인을 선택합니다.
  4. 보안 탭을 선택합니다.
  5. 스캔 세부 정보에서 다음을 선택합니다:
    • JSON 파일을 다운로드하려면 JSON artifact를 선택합니다.
    • CSV 파일을 다운로드하려면 스캔된 리소스 다운로드를 선택합니다.

스캔 결과

소스 브랜치에 있는 발견물은 심각도의 내림차순으로 나열됩니다. 발견물 디렉터리을 심각도와 도구로 필터링할 수 있습니다. 또한 GitLab 외부에서 분석을 위해 보안 스캔 결과를 다운로드할 수 있습니다.

무시된 발견물은 기본적으로 숨겨집니다. 이러한 발견물을 보려면 무시 숨기기 토글을 끄십시오.

각각의 발견물에 대해 다음을 수행할 수 있습니다:

  • 발견물에 대한 더 많은 정보 확인
  • 발견물에 대한 이슈 생성
  • 발견물 무시

Merge Request 브랜치를 대상 브랜치로 Merge하면 모든 보고된 발견물이 취약점 보고서에 있습니다. 기본 브랜치에서 실행된 파이프라인의 스캔 결과는 파이프라인이 완료된 후에 통합됩니다. 이에 대한 자세한 내용은 다음 표를 참조하십시오:

기존 취약점 상태 파이프라인에서 무시됨? 새로운 취약점 상태
임의 무시됨
무시됨 임의 무시됨
확인됨 아니오 확인됨
검토 필요 (검출됨) 아니오 검토 필요 (검출됨)
해결됨 아니오 검토 필요 (검출됨)
N/A (새로운 취약점) 아니오 검토 필요 (검출됨)

차단 또는 불완전 상태인 파이프라인의 보안 보고서

  • GitLab 16.10에서 도입되었으며 include_manual_to_pipeline_completion이라는 플래그가 있습니다. 기본적으로 활성화됨.
파이프라인 상태 파이프라인 완료 표시되는 취약점은 무엇입니까? 1
성공 완료 ✅ 파이프라인의 모든 취약점 발견을 표시합니다.
실패 완료 ✅ 실패하지 않은 작업의 취약점 발견을 표시, ❌ 실패한 작업의 취약점 발견을 표시하지 않습니다.
차단 2 완료 ✅ 파이프라인이 매뉴얼 작업으로 차단되어 있더라도 모든 취약점 발견을 표시합니다.

각주:

  1. Merge Request 보안 위젯, 파이프라인 보안 탭, 취약점 보고서 및 기본 브랜치로 Merge된 경우 의존성 디렉터리에 이러한 결과가 표시됩니다.
  2. 16.10 이전에 GitLab은 모든 파이프라인 작업이 완료된 후에만 스캔 결과를 수용했습니다. 현재, 플랫폼은 파이프라인이 매뉴얼 작업에 의해 차단될 때도 스캔 결과를 수용할 수 있습니다.

발견물의 유지 기간

  • GitLab 15.5에서 도입되었습니다.

다음의 경우 발견물을 더 이상 사용할 수 없습니다:

  • 관련 CI 작업 artifact가 만료될 때
  • 파이프라인이 작성된 후 90일이 지나면, 관련 CI 작업 artifact가 잠겨 있더라도 사용되지 않습니다.

발견물을 보려면 다음을 수행합니다:

  • 새로운 파이프라인 실행
  • 사용 가능한 경우 관련 CI 작업 artifact를 다운로드
note
기본 브랜치에 있는 취약점에는 해당되지 않습니다.

발견물의 상태 변경

  • GitLab 16.7에서 도입되었으며 pipeline_security_dashboard_graphql이라는 플래그가 있습니다. 기본적으로 비활성화됨.
자체 호스팅 GitLab에서는 기본적으로 이 기능을 사용할 수 없습니다. 관리자는 파이프라인 보안 대시보드 GraphQL라는 피처 플래그를 활성화하여 사용할 수 있습니다. GitLab.com 및 GitLab Dedicated에서는 이 기능을 사용할 수 없습니다.

발견물의 상태를 무시 또는 검토 필요로 변경하려면 다음을 수행합니다:

  1. 왼쪽 사이드바에서 검색 또는 이동을 선택하여 프로젝트를 찾습니다.
  2. 빌드 > 파이프라인을 선택합니다.
  3. 파이프라인을 선택하고 보안 탭을 선택합니다.
  4. 선택할 항목:
    • 하나 이상의 발견물을 선택하려면 각 발견물 옆의 확인란을 선택합니다.
    • 페이지의 모든 발견물을 선택하려면 테이블 머릿글의 확인란을 선택합니다.
  5. 상태 설정 드롭다운 디렉터리에서 원하는 상태를 선택합니다.
  6. 무시 상태를 선택한 경우, 무시 사유 설정 드롭다운 디렉터리에서 원하는 이유를 선택합니다.
  7. 코멘트 추가 입력란에서 코멘트를 제공할 수 있습니다. 무시 상태인 경우 코멘트가 필요합니다.
  8. 상태 변경을 선택합니다.

선택한 발견물의 상태가 업데이트되며 보안 탭의 내용이 새로 고쳐집니다.

중복 제거 과정

파이프라인에 같은 유형의 여러 보안 보고서를 생성하는 작업이 포함되어 있다면, 동일한 취약점 발견이 여러 보고서에 있을 수 있습니다. 이 중복은 보안 취약점 스캔 범위를 최대한 확장하면서 관리해야 할 발견물 수를 줄이기 위해 중요합니다.

스캔 유형, 위치 및 하나 이상의 식별자가 동일한 경우 한 발견물은 다른 발견물의 중복으로 간주됩니다.

스캔 유형은 각각이 자체적으로 취약점의 위치를 정의할 수 있기 때문에 일치해야 합니다. 예를 들어, 정적 분석기는 파일 경로와 줄 번호를 찾을 수 있지만, 컨테이너 스캐닝 분석기는 이미지 이름을 사용합니다.

식별자를 비교할 때 GitLab은 중복 제거 중 CWEWASC를 비교하지 않습니다. 이것들은 유형 식별자로 각각의 취약점 그룹을 분류하는 데 사용됩니다. 이러한 식별자를 포함시키면 많은 발견물이 잘못된 중복으로 간주됩니다. 두 발견물은 식별자가 일치하지 않을 경우 고유한 것으로 간주됩니다.

중복된 결과 세트에서 각 발견물의 첫 번째 발생만 유지되고 나머지는 건너뜁니다. 보안 보고서는 알파벳순의 파일 경로 순서로 처리되며, 발견물은 보고서에 나타나는 순서대로 순차적으로 처리됩니다.

중복 제거 예시

  • 예시 1: 일치하는 식별자와 위치, 불일치하는 스캔 유형.
    • 발견
      • 스캔 유형: sast
      • 위치 지문: adc83b19e793491b1c6ea0fd8b46cd9f32e592fc
      • 식별자: CVE-2022-25510
    • 다른 발견
      • 스캔 유형: secret_detection
      • 위치 지문: adc83b19e793491b1c6ea0fd8b46cd9f32e592fc
      • 식별자: CVE-2022-25510
    • 중복 제거 결과: 스캔 유형이 다르기 때문에 중복되지 않음.
  • 예시 2: 일치하는 위치와 스캔 유형, 불일치하는 유형 식별자.
    • 발견
      • 스캔 유형: sast
      • 위치 지문: adc83b19e793491b1c6ea0fd8b46cd9f32e592fc
      • 식별자: CWE-259
    • 다른 발견
      • 스캔 유형: sast
      • 위치 지문: adc83b19e793491b1c6ea0fd8b46cd9f32e592fc
      • 식별자: CWE-798
    • 중복 제거 결과: CWE 식별자는 무시되므로 중복됨.
  • 예시 3: 일치하는 스캔 유형, 위치 및 식별자.
    • 발견
      • 스캔 유형: container_scanning
      • 위치 지문: adc83b19e793491b1c6ea0fd8b46cd9f32e592fc
      • 식별자: CVE-2019-12345, CVE-2022-25510, CWE-259
    • 다른 발견
      • 스캔 유형: container_scanning
      • 위치 지문: adc83b19e793491b1c6ea0fd8b46cd9f32e592fc
      • 식별자: CVE-2022-25510, CWE-798
    • 중복 제거 결과: 모든 기준이 일치하고 유형 식별자는 무시되므로 중복됨. 이 경우에는 CVE-2022-25510만 일치하면 됨.

각 스캔 유형에 대한 정의는 다음에서 찾을 수 있습니다: gitlab/lib/gitlab/ci/reports/security/locations 그리고 gitlab/ee/lib/gitlab/ci/reports/security/locations.

예를 들어, container_scanning 유형의 경우 위치는 태그를 포함하지 않은 Docker 이미지 이름으로 정의됩니다. 그러나 이미지 태그에 하나 이상의 문자가 포함되거나 8자보다 긴 경우에는 중복으로 간주되지 않습니다. 따라서 위치 registry.gitlab.com/group-name/project-name/image1:12345019:libcrypto3registry.gitlab.com/group-name/project-name/image1:libcrypto3은 동일하게 처리되지만 registry.gitlab.com/group-name/project-name/image1:v19202021:libcrypto3registry.gitlab.com/group-name/project-name/image1:libcrypto3은 다르게 간주됩니다.