정적 도달 가능성 분석

SBOM 종속성에서 도달 가능한 취약점을 식별하여 수정 우선순위를 지정하는 정적 도달 가능성 분석.

히스토리 GitLab 17.5에서 실험 으로 도입 됨. GitLab 17.11에서 실험에서 베타로 변경 됨. GitLab 18.2 및 종속성 스캔 분석기 v0.32.0에서 JavaScript 및 TypeScript 지원이 도입 됨. GitLab 18.5 및 종속성 스캔 분석기 v0.39.0에서 Java 지원이 도입 됨. GitLab 18.5에서 베타에서 제한 가용성(LA)으로 변경 됨. GitLab 18.8에서 Java 지원이 실험에서 베타로 변경 됨. 종속성 스캔은 프로젝트의 모든 취약한 종속성을 식별합니다. 그러나 모든 취약점이 동등한 위험을 가지는 것은 아닙니다. 정적 도달 가능성 분석은 취약한 패키지가 도달 가능한지, 즉 애플리케이션에서 가져오는지 여부를 확인하여 수정 우선순위를 지정하는 데 도움을 줍니다. 도달 가능한 취약점에 집중함으로써 정적 도달 가능성 분석을 통해 이론적인 위험이 아닌 실제 위협 노출을 기반으로 수정 우선순위를 지정할 수 있습니다. 정적 도달 가능성 분석은 프로젝트의 소스 코드를 분석하여 SBOM의 종속성 중 어떤 것이 도달 가능한지 결정하는 방식으로 작동합니다. 종속성 스캔은 모든 컴포넌트와 그 전이적 종속성을 식별하는 SBOM 보고서를 생성합니다. 정적 도달 가능성 분석은 SBOM의 각 종속성을 확인하고 도달 가능성 값을 추가하여 실제 사용 데이터로 보고서를 풍부하게 만듭니다. 이 풍부화된 SBOM은 취약점 발견을 보완하기 위해 GitLab에서 수집됩니다. SBOM은 SBOM 파일과 소스 코드 파일이 동일한 프로젝트 디렉터리 트리에 속할 때만 풍부화됩니다. 여러 중첩 프로젝트가 있는 경우 시스템은 풍부화를 결정하기 위해 가장 가까운(가장 깊은) 프로젝트 경로를 선택합니다. 정적 도달 가능성 분석은 Python 및 Java 패키지에 대해 SBOM의 패키지 이름을 해당 코드 가져오기 경로에 매핑하는 메타데이터 에 의존합니다. 이 메타데이터는 주간 업데이트로 유지 관리됩니다. Warning 정적 도달 가능성 분석은 프로덕션 준비가 되어 있습니다. 그러나 동일한 상태인 SBOM에 의한 종속성 스캔 에 의존하기 때문에 제한 가용성이 있습니다. 이슈 535498 에서 피드백을 공유하세요. 정적 도달 가능성 분석 켜기 # 필수 요건: 프로젝트에 대한 Developer, Maintainer 또는 Owner 역할. 프로젝트에서 지원되는 언어 및 패키지 관리자 를 사용해야 합니다. 종속성 스캔 분석기 버전 0.39.0 이상(이전 버전은 특정 언어를 지원할 수 있음 - 위의 History 참조). 프로젝트에 대해 SBOM을 사용한 종속성 스캔 켜기. Gemnasium 분석기는 지원되지 않습니다. 언어별 필수 요건: Python: 종속성 그래프 파일은 build 스테이지의 잡 아티팩트로 제공해야 합니다. pip 또는 pipenv 에 대한 지침을 참조하세요. 다른 지원되는 Python 패키지 관리자는 종속성 스캔 분석기 문서 를 참조하세요. JavaScript 및 TypeScript: 리포지터리에는 종속성 스캔 분석기에서 지원