SBOM을 사용한 의존성 스캔

SBOM을 사용한 의존성 스캔에 대해 설명합니다.

히스토리 GitLab 17.4에서 기본 브랜치만을 위한 실험 으로 dependency_scanning_using_sbom_reports 라는 기능 플래그 와 함께 도입 됨. 기본적으로 비활성화됨. GitLab 17.5에서 GitLab Self-Managed에서 활성화 됨. GitLab 17.9에서 모든 브랜치 지원 및 Cargo, Conda, Cocoapods, Swift를 위한 최신 의존성 스캔 CI/CD 템플릿과 함께 기본 활성화 로 실험에서 베타로 변경 됨. GitLab 17.10에서 기능 플래그 dependency_scanning_using_sbom_reports 제거됨. GitLab 18.5에서 dependency_scanning_sbom_scan_api 라는 기능 플래그 와 함께 새로운 V2 CI/CD 의존성 스캔 템플릿 을 사용하여 GitLab.com 전용 제한 사용 가능으로 베타에서 변경 됨. 기본적으로 비활성화됨. GitLab 18.10에서 기능 플래그 dependency_scanning_using_sbom_reports 가 기본 활성화 됨. CycloneDX 소프트웨어 자재명세서(SBOM)를 사용한 의존성 스캔은 애플리케이션의 의존성에서 알려진 취약점을 분석합니다. 전이적 의존성을 포함한 모든 의존성이 스캔됩니다. 의존성 스캔은 소프트웨어 컴포지션 분석(SCA)의 일부로 간주되는 경우가 많습니다. SCA는 코드가 사용하는 항목을 검사하는 측면을 포함할 수 있습니다. 이러한 항목에는 일반적으로 애플리케이션 및 시스템 의존성이 포함되며, 이는 거의 항상 외부 소스에서 가져오고 직접 작성한 항목이 아닙니다. 의존성 스캔은 애플리케이션 라이프사이클의 개발 단계에서 실행할 수 있습니다. CI/CD 파이프라인에서 새로운 의존성 스캔 분석기를 사용하면, 프로젝트 의존성이 감지되어 CycloneDX SBOM 보고서에 보고됩니다. 보안 결과가 식별되고 소스 및 대상 브랜치 간에 비교됩니다. 결과와 심각도는 머지 리퀘스트에 나열되어, 코드 변경이 커밋되기 전에 애플리케이션에 대한 위험을 사전에 해결할 수 있습니다. 보고된 SBOM 컴포넌트에 대한 보안 결과는 CI/CD 파이프라인과 독립적으로 새 보안 어드바이저리가 게시될 때 지속적 취약점 스캔 에 의해서도 식별됩니다. GitLab은 이러한 모든 의존성 유형을 포괄하기 위해 의존성 스캔과 컨테이너 스캔 을 모두 제공합니다. 위험 영역을 최대한 포괄하려면 모든 보안 스캐너를 사용하는 것을 권장합니다. 이러한 기능의 비교를 위해서는 의존성 스캔과 컨테이너 스캔 비교 를 참조하세요. 새로운 의존성 스캔 분석기에 대한 피드백은 피드백 이슈 에서 공유하세요. 의존성 스캔 활성화 # 의존성 스캔이 처음인 경우, 다음 단계에 따라 프로젝트에서 활성화합니다. 모든 GitLab 인스턴스의 전제 조건: 프로젝트에 대한 Developer, Maintainer 또는 Owner 권한. 지원되는 잠금 파일 또는 의존성 그래프 내보내기 가 리포지터리에 커밋되어 있거나 CI/CD 파이프라인에서 생성되어 depende