SBOM을 사용한 의존성 스캔으로 마이그레이션

SBOM을 사용한 의존성 스캔으로 마이그레이션에 대해 설명합니다.

히스토리 Gemnasium 분석기 기반의 의존성 스캔 기능이 GitLab 17.9에서 deprecated되었으며 GitLab 20.0에서 제거될 예정입니다. 단, 제거 일정은 확정되지 않았으며 필요에 따라 Gemnasium을 계속 사용할 수 있습니다. 의존성 스캔 기능이 GitLab SBOM 취약성 스캐너로 업그레이드됩니다. 이 변경의 일환으로, SBOM을 사용한 의존성 스캔 기능과 새로운 의존성 스캔 분석기 가 Gemnasium 분석기 기반의 레거시 의존성 스캔 기능을 대체합니다. 그러나 이 전환에 따른 중요한 변경사항으로 인해 자동으로 구현되지 않으며 이 문서는 마이그레이션 가이드 역할을 합니다. GitLab 의존성 스캔을 사용하고 다음 조건 중 하나에 해당하는 경우 이 마이그레이션 가이드를 따르세요: 의존성 스캔 CI/CD 작업이 의존성 스캔 CI/CD 템플릿을 포함하여 구성된 경우. include: - template: Jobs/Dependency-Scanning.gitlab-ci.yml - template: Jobs/Dependency-Scanning.latest.gitlab-ci.yml 의존성 스캔 CI/CD 작업이 스캔 실행 정책 을 사용하여 구성된 경우. 의존성 스캔 CI/CD 작업이 파이프라인 실행 정책 을 사용하여 구성된 경우. 변경 사항 이해 # 프로젝트를 SBOM을 사용한 의존성 스캔으로 마이그레이션하기 전에, 도입되는 근본적인 변경 사항을 이해해야 합니다. 이 전환은 기술적 발전, GitLab에서 의존성 스캔이 작동하는 방식에 대한 새로운 접근법, 그리고 사용자 경험에 대한 다양한 개선 사항을 나타내며, 그 중 일부는 다음을 포함하지만 이에 국한되지 않습니다: 향상된 언어 지원. deprecated된 Gemnasium 분석기는 Python과 Java 버전의 소수 집합으로 제한됩니다. 새로운 분석기는 조직에 이전 프로젝트에서 구형 버전의 툴체인을 사용하는 데 필요한 유연성을 제공하며, 분석기 이미지의 주요 업데이트를 기다리지 않고 새로운 버전을 시험해 볼 수 있는 옵션을 제공합니다. 또한 새 분석기는 향상된 파일 커버리지 의 혜택을 받습니다. 향상된 성능. 애플리케이션에 따라 Gemnasium 분석기가 호출하는 빌드는 거의 한 시간이 걸릴 수 있으며 중복 작업이 될 수 있습니다. 새로운 분석기는 더 이상 빌드 시스템을 직접 호출하지 않습니다. 대신 이전에 정의된 빌드 작업을 재사용하여 전반적인 스캔 성능을 향상시킵니다. 더 작은 공격 표면. 빌드 기능을 지원하기 위해 Gemnasium 분석기는 다양한 의존성이 미리 로드됩니다. 새로운 분석기는 이러한 의존성을 많이 제거하여 더 작은 공격 표면을 만듭니다. 더 간단한 구성. deprecated된 Gemnasium 분석기는 올바르게 작동하기 위해 프록시, 인증기관(CA) 인증서 번들, 기타 다양한 유틸리티 구성이 자주 필요합니다. 새로운 솔루션은 이러한 요구사항의 상당 부분을 제거하여 구성이 더 간단한 강력한 도구를 제공합니다. 보안 스캔에 대한 새로운 접근법 # 레거시