컨테이너 스캔

이미지 취약점 스캔, 설정, 커스터마이즈, 보고.

컨테이너 이미지의 보안 취약점은 애플리케이션 라이프사이클 전반에 걸쳐 위험을 초래합니다. 컨테이너 스캔은 이러한 위험을 프로덕션 환경에 도달하기 전, 조기에 감지합니다. 베이스 이미지나 운영 체제 패키지에 취약점이 발견되면, 컨테이너 스캔은 이를 식별하고 가능한 취약점에 대한 해결 방법을 제공합니다. 개요를 보려면 Container scanning - Advanced Security Testing 을 참조하세요. 동영상 안내를 보려면 How to set up container scanning using GitLab 을 참조하세요. 입문 튜토리얼은 Docker 컨테이너의 취약점 스캔 을 참조하세요. 컨테이너 스캔은 소프트웨어 컴포지션 분석(SCA)의 일부로 간주되는 경우가 많습니다. SCA는 코드가 사용하는 항목을 검사하는 측면을 포함할 수 있습니다. 이러한 항목에는 일반적으로 애플리케이션 및 시스템 의존성이 포함되며, 이는 거의 항상 외부 소스에서 가져오고 직접 작성한 항목이 아닙니다. GitLab은 이러한 모든 의존성 유형을 포괄하기 위해 컨테이너 스캔과 의존성 스캔을 모두 제공합니다. 위험 영역을 최대한 포괄하려면 모든 보안 스캐너를 사용하세요. 이러한 기능의 비교를 위해서는 의존성 스캔과 컨테이너 스캔 비교 를 참조하세요. GitLab은 컨테이너에서 취약점 정적 분석을 수행하기 위해 Trivy 보안 스캐너와 통합됩니다. Warning Grype 분석기는 GitLab 지원 정책 에 설명된 제한적인 수정을 제외하고 더 이상 유지 관리되지 않습니다. Grype 분석기 이미지의 현재 주요 버전은 GitLab 19.0까지 최신 어드바이저리 데이터베이스 및 운영 체제 패키지로 계속 업데이트되며, 그 이후에는 분석기가 작동을 멈춥니다. 기능 # 기능 Free 및 Premium Ultimate 설정 커스터마이즈 ( 변수 , 오버라이딩 , 오프라인 환경 지원 등) ✅ ✅ CI job 아티팩트로 JSON 보고서 보기 ✅ ✅ CI job 아티팩트로 CycloneDX SBOM JSON 보고서 생성 ✅ ✅ GitLab UI에서 MR을 통해 컨테이너 스캔 활성화 ✅ ✅ UBI 이미지 지원 ✅ ✅ Trivy 지원 ✅ ✅ 수명 종료 운영 체제 감지 ✅ ✅ GitLab 어드바이저리 데이터베이스 포함 GitLab advisories-communities 프로젝트의 시간 지연 콘텐츠로 제한 예 - Gemnasium DB 의 모든 최신 콘텐츠 머지 리퀘스트 및 CI 파이프라인 job의 Security 탭에서 보고서 데이터 표시 ❌ ✅ 취약점 솔루션 (자동 해결) ❌ ✅ 취약점 허용 목록 지원 ❌ ✅ 의존성 목록 페이지 접근 ❌ ✅ 시작하기 # CI/CD 파이프라인에서 컨테이너 스캔 분석기를 활성화하세요. 파이프라인이 실행되면, 애플리케이션이 의존하는 이미지에서 취약점이 스캔됩니다. CI/CD 변수를 사용하여 컨테이너 스캔을 커스터마이즈할 수 있습니다. 전제 조건: .gitlab-ci.yml 파일에 test 스테이지가 필요합니다. 셀프 매니지드 러너를 사용하는 경우 L