동적 애플리케이션 보안 테스트

자동화된 침투 테스트, 취약점 감지, 웹 애플리케이션 스캐닝, 보안 평가 및 CI/CD 통합을 설명합니다.

Warning DAST 프록시 기반 분석기는 GitLab 16.9에서 더 이상 사용되지 않음 으로 표시되었으며 GitLab 17.3에서 제거 되었습니다. 이 변경은 중단 변경입니다. DAST 프록시 기반 분석기에서 DAST 버전 5로 마이그레이션하는 방법에 대한 지침은 프록시 기반 마이그레이션 가이드 를 참조하세요. DAST 버전 4 브라우저 기반 분석기에서 DAST 버전 5로 마이그레이션하는 방법에 대한 지침은 브라우저 기반 마이그레이션 가이드 를 참조하세요. 동적 애플리케이션 보안 테스트(DAST)는 실행 중인 웹 애플리케이션 및 API에서 취약점을 찾기 위해 자동화된 침투 테스트를 실행합니다. DAST는 해커의 접근 방식을 자동화하고 교차 사이트 스크립팅(XSS), SQL 인젝션(SQLi), 교차 사이트 요청 위조(CSRF)와 같은 중요 위협에 대한 실제 공격을 시뮬레이션하여 다른 보안 도구가 감지할 수 없는 취약점 및 구성 오류를 발견합니다. DAST는 완전히 언어 중립적이며 외부에서 애플리케이션을 검사합니다. DAST 스캔은 CI/CD 파이프라인, 일정에 따라 또는 수동으로 실행할 수 있습니다. 소프트웨어 개발 생명주기 동안 DAST를 사용하면 프로덕션 배포 전에 애플리케이션의 취약점을 발견할 수 있습니다. DAST는 소프트웨어 보안의 기초 구성 요소이며 애플리케이션의 포괄적인 보안 평가를 위해 다른 GitLab 보안 도구와 함께 사용해야 합니다. 개요를 보려면 DAST - 고급 보안 테스트 를 참조하세요. GitLab DAST # GitLab DAST 및 API 보안 분석기는 최신 웹 애플리케이션 및 API에 대한 광범위한 보안 커버리지를 제공하는 독점 런타임 도구입니다. 필요에 따라 DAST 분석기를 사용합니다: 단일 페이지 웹 애플리케이션을 포함한 웹 기반 애플리케이션에서 알려진 취약점을 스캔하려면 DAST 분석기를 사용합니다. API에서 알려진 취약점을 스캔하려면 API 보안 분석기를 사용합니다. GraphQL, REST 및 SOAP과 같은 기술이 지원됩니다. 분석기는 애플리케이션 보안 에 설명된 아키텍처 패턴을 따릅니다. 각 분석기는 CI/CD 템플릿을 사용하여 파이프라인에서 구성하고 Docker 컨테이너에서 스캔을 실행합니다. 스캔은 GitLab이 소스 브랜치와 대상 브랜치의 스캔 결과 차이에 따라 발견된 취약점을 결정하는 데 사용하는 DAST 보고서 아티팩트 를 출력합니다. 스캔 결과 보기 # 감지된 취약점은 머지 리퀘스트 , 파이프라인 보안 탭 및 취약점 보고서 에 표시됩니다. Note 파이프라인은 SAST 및 DAST 스캐닝을 포함한 여러 job으로 구성될 수 있습니다. 어떤 이유로든 job이 완료되지 않으면 보안 대시보드는 DAST 스캐너 출력을 표시하지 않습니다. 예를 들어 DAST job은 완료되었지만 SAST job이 실패한 경우 보안 대시보드는 DAST 결과를 표시하지 않습니다. 실패 시 분석기는 종료 코드를 출력합니다. 스캔된 URL 목록 # DAST가 스캔을 완료하면 머지 리퀘스트 페이지에 스캔된 U