API 보안 테스팅 분석기

API 보안 테스팅 분석기에 대해 설명합니다.

히스토리 GitLab 17.0에서 "DAST API 분석기"에서 "API 보안 테스팅 분석기"로 이름이 변경 되었습니다. 웹 API를 테스트하여 다른 QA 프로세스에서 놓칠 수 있는 버그와 잠재적인 보안 이슈를 발견합니다. 다른 보안 스캐너와 자체 테스트 프로세스에 추가하여 API 보안 테스팅을 사용합니다. API 보안 테스팅 테스트를 CI/CD 워크플로우의 일부로, 온디맨드 로, 또는 둘 다로 실행할 수 있습니다. Warning 프로덕션 서버에 대해 API 보안 테스팅을 실행하지 마세요. API가 수행할 수 있는 모든 기능을 수행할 수 있을 뿐만 아니라 API에서 버그를 트리거할 수도 있습니다. 여기에는 데이터 수정 및 삭제와 같은 작업이 포함됩니다. 테스트 서버에 대해서만 API 보안 테스팅을 실행하세요. 시작하기 # CI/CD 구성을 편집하여 API 보안 테스팅을 시작합니다. 필수 조건: 지원되는 API 유형 중 하나를 사용하는 웹 API: REST API SOAP GraphQL 폼 본문, JSON 또는 XML 다음 형식 중 하나의 API 사양: OpenAPI v2 또는 v3 사양 GraphQL 스키마 HTTP 아카이브(HAR) Postman Collection v2.0 또는 v2.1 각 스캔은 정확히 하나의 사양을 지원합니다. 둘 이상의 사양을 스캔하려면 여러 스캔을 사용합니다. Linux/amd64에서 docker 실행기 를 사용하는 GitLab Runner 가 있어야 합니다. 배포된 대상 애플리케이션이 있어야 합니다. 자세한 내용은 배포 옵션 을 참조하세요. deploy 스테이지 이후에 CI/CD 파이프라인 정의에 dast 스테이지가 추가되어 있어야 합니다. 예를 들어: stages: - build - test - deploy - dast API 보안 테스팅을 활성화하려면 환경의 고유한 요구에 맞게 GitLab CI/CD 구성 YAML을 변경해야 합니다. 다음을 사용하여 스캔할 API를 지정할 수 있습니다: OpenAPI v2 또는 v3 사양 GraphQL 스키마 HTTP 아카이브(HAR) Postman Collection v2.0 또는 v2.1 결과 이해하기 # 보안 스캔의 출력을 보려면: 상단 바에서 검색 또는 이동 을 선택하고 프로젝트를 찾습니다. 왼쪽 사이드바에서 빌드 > 파이프라인 을 선택합니다. 파이프라인을 선택합니다. 보안 탭을 선택합니다. 다음을 포함한 세부 정보를 보려면 취약성을 선택합니다: 상태: 취약성이 분류되었거나 해결되었는지 여부를 나타냅니다. 설명: 취약성의 원인, 잠재적 영향 및 권장 수정 단계를 설명합니다. 심각도: 영향을 기반으로 여섯 가지 수준으로 분류됩니다. 심각도 수준에 대해 자세히 알아보세요 . 스캐너: 취약성을 감지한 분석기를 식별합니다. 방법: 취약한 서버 상호 작용 유형을 확인합니다. URL: 취약성의 위치를 표시합니다. 증거: 특정 취약성의 존재를 증명하는 테스트 케이스를 설명합니다 식별자: CWE 식별자와 같이 취약성을 분류하는 데 사용되는 참조 목록. 보안 스캔 결과를 다운로드할