룰셋 사용자 정의

GitLab에서 기본 규칙을 비활성화, 재정의 또는 교체하여 SAST 분석기 규칙을 사용자 정의합니다.

히스토리 GitLab 16.2에서 모호한 패스스루 참조 지정을 위한 지원이 활성화 되었습니다. 각 SAST 분석기는 룰셋 구성 파일을 통해 다양한 수준의 사용자 정의를 지원합니다. Semgrep 기반 SAST 분석기와 GitLab Advanced SAST 분석기에는 기본 룰셋 이 있습니다. 룰셋 용어집 # 규칙(Rule) : 특정 취약점을 스캔하는 개별 보안 검사 또는 감지 패턴. 룰셋(Ruleset) : sast-ruleset.toml 파일에 정의된 규칙과 그 구성의 모음. 패스스루(Passthrough) : 패스스루는 파일, Git 저장소, URL 또는 인라인 구성에서 룰셋 사용자 정의를 가져오는 구성 소스입니다. 여러 패스스루를 체인으로 결합할 수 있으며, 각각은 이전 구성을 덮어쓰거나 추가할 수 있습니다. 규칙 사용자 정의 옵션 # SAST 룰셋은 기본 규칙과 함께 제공되지만 모든 조직은 다른 보안 요구사항을 가지고 있습니다. 규칙을 비활성화하거나, 메타데이터를 재정의하거나, 규칙을 교체하거나 추가하여 이러한 룰셋을 사용자 정의할 수 있습니다. 아래 표는 각 분석기 유형에 대해 사용 가능한 사용자 정의 옵션을 보여줍니다. 사용자 정의 GitLab Advanced SAST GitLab Semgrep 기타 분석기 기본 규칙 비활성화 ✅ ✅ ✅ 기본 규칙 메타데이터 재정의 ✅ ✅ ✅ 기본 규칙 교체 또는 추가 기본 비오염, 구조적 규칙의 동작 수정 및 파일 및 원시 패스스루 적용을 지원합니다. 다른 패스스루 유형은 무시됩니다. 전체 패스스루를 지원합니다. ❌ Note GitLab 지원 범위는 Semgrep 분석기 통합 및 기본 룰셋으로 제한됩니다. 기본 규칙을 교체하거나 추가하는 경우 결과적으로 발생할 수 있는 호환성 문제를 관리해야 합니다. 자세한 내용은 Semgrep 분석기 호환성 문서 를 참조하세요. 기본 규칙 비활성화 # 모든 SAST 분석기에 대한 기본 규칙을 비활성화할 수 있습니다. 예를 들어 조직 정책에 따라 특정 규칙을 제외하고 싶을 수 있습니다. 다음 예제를 참조하세요: 기본 GitLab Advanced SAST 규칙 비활성화 기타 SAST 분석기의 기본 규칙 비활성화 기본 규칙 메타데이터 재정의 # 모든 SAST 분석기에 대한 기본 규칙의 특정 속성을 재정의할 수 있습니다. 예를 들어 조직 정책에 따라 취약점의 심각도를 재정의하거나 취약점 보고서에 표시할 다른 메시지를 선택할 수 있습니다. 예제는 기본 규칙 메타데이터 재정의 를 참조하세요. 기본 규칙 교체 또는 추가 # Semgrep 기반 SAST 분석기 및 GitLab Advanced SAST 분석기의 기본 규칙을 교체하거나 추가할 수 있습니다. 기본적으로 사용자 정의 룰셋을 정의하면 기본 룰셋이 교체됩니다. 기본 룰셋에 추가하려면 룰셋 구성 파일 에서 keepdefaultrules 를 true 로 설정해야 합니다. 다음 예제를 참조하세요: GitLab Advanced SAST의 기본 규칙 교체 semgrep 의 기본 규칙 교체 또는 추가 룰셋 사용자 정의의 효과