애플리케이션 보안 테스트

스캐닝, 취약성, 컴플라이언스, 사용자 정의 및 보고.

GitLab 애플리케이션 보안 테스트는 개발 중 및 변경 사항 배포 후에 취약성을 지속적으로 탐지합니다. 애플리케이션 보안 테스트는 프로젝트의 소스 코드, 의존성, 라이브러리 및 컨테이너 이미지를 스캔합니다. 런타임 취약성은 테스트 환경에서 배포된 애플리케이션에 대한 시뮬레이션 공격 및 퍼즈 테스트를 통해 탐지됩니다. 개발 중에 코드가 커밋되거나 머지 리퀘스트가 생성될 때 CI/CD 파이프라인의 일부로 스캔이 자동으로 실행됩니다. 보안 결과는 머지 리퀘스트와 IDE에 직접 표시되어 코드가 머지되기 전에 개발자에게 알립니다. 이러한 사전 예방적 접근 방식은 개발 후반부에서 문제를 수정하는 비용과 노력을 줄입니다. 개발 주기 외에도 온디맨드로 보안 스캔을 실행하거나 정기적인 간격으로 실행되도록 예약할 수 있습니다. 취약성 데이터베이스가 새로 발견된 위협 및 제로데이 취약점으로 업데이트됨에 따라 프로젝트의 소프트웨어 라이브러리 및 컨테이너 이미지에 대한 새로운 위험이 식별됩니다. 이러한 방법을 함께 사용하면 원래 개발 주기에서 이전에 알려지지 않았던 위험을 식별합니다. 클릭 스루 데모는 파이프라인에 보안 통합 을 참조하세요. 취약성 관리 주기 # GitLab은 애플리케이션 보안 태세를 지속적으로 개선하는 데 도움이 되는 포괄적인 취약성 관리 워크플로를 지원합니다. 이 워크플로는 탐지, 분류, 분석, 해결 및 최적화의 지속적인 주기입니다. 탐지 - 자동화된 보안 테스트를 통해 취약성을 식별합니다. 분류 - 즉각적인 주의가 필요한 것과 나중에 해결할 수 있는 취약성을 결정하기 위해 취약성을 평가하고 우선순위를 지정합니다. 분석 - 확인된 취약성의 영향을 이해하고 적절한 해결 전략을 결정하기 위해 상세한 분석을 수행합니다. 해결 - 취약성의 근본 원인을 수정하거나 적절한 위험 완화 조치를 구현합니다. 각 단계의 결과를 사용하여 다음 주기를 개선합니다. 예를 들어 분석 중에 식별된 잘못된 경보를 줄이기 위해 탐지 규칙을 조정합니다. Mermaid 다이어그램 (9줄) 소스 코드 보기 %%{init: { "fontFamily": "GitLab Sans" }}%% flowchart LR accTitle: Vulnerability management workflow accDescr: A circular workflow showing the continuous cycle of vulnerability management in GitLab Detect --> Triage Triage --> Analyze Analyze --> Remediate Remediate -->|Optimize| Detect</code></pre></details></div> 이 주기는 각 코드 변경으로 반복되어 애플리케이션 보안과 취약성 관리 프로세스를 점진적으로 개선할 수 있습니다. 이러한 지속적인 개선은 취약성 관리가 시간이 지남에 따라 더 효과적이고 효율적이 됨을 의미합니다.