탐지

취약점 감지 및 결과 평가.

소프트웨어 개발 라이프사이클 전반에서 프로젝트 리포지터리와 애플리케이션 동작의 취약점을 감지합니다. 개발 중 취약점 위험을 관리하는 데 도움이 됩니다: 브랜치에 코드 변경 사항을 푸시하면 보안 스캐너가 실행됩니다. 브랜치에서 감지된 취약점의 세부 정보를 볼 수 있습니다. 개발자는 이 시점에서 취약점을 수정하여 프로덕션에 도달하기 전에 수정할 수 있습니다. 선택적으로 취약점이 포함된 머지 리퀘스트 에 추가 승인을 적용할 수 있습니다. 자세한 내용은 머지 리퀘스트 승인 정책 을 참조하세요. 개발 외부에서 취약점을 관리하는 데 도움이 됩니다: 보안 스캔을 예약하거나 수동으로 실행할 수 있습니다. 기본 브랜치에서 감지된 취약점은 취약점 보고서 에 표시됩니다. 이 보고서를 사용하여 취약점을 분류, 분석, 해결합니다. 보안 스캔 # 보안 스캔에서 최대한 활용하려면 다음을 이해하는 것이 중요합니다: 보안 스캔을 트리거하는 방법. 애플리케이션 또는 리포지터리의 어떤 측면을 스캔하는지. 어떤 스캐너가 실행되는지를 결정하는 것. 보안 스캔이 발생하는 방식. 트리거 # CI/CD 파이프라인의 보안 스캔은 기본적으로 프로젝트 리포지터리에 변경 사항이 푸시될 때 트리거됩니다. 다음을 통해 보안 스캔을 실행할 수도 있습니다: CI/CD 파이프라인을 수동으로 실행 . 스캔 실행 정책 을 사용하여 보안 스캔을 예약. DAST에 한해 온디맨드 DAST 스캔을 수동으로 실행 하거나 일정에 따라 실행. SAST에 한해 GitLab for VS Code 확장 을 사용하여 스캔 실행. 감지 범위 # 프로젝트 리포지터리를 스캔하고 취약점에 대해 애플리케이션 동작을 테스트합니다: 리포지터리 스캔은 프로젝트 리포지터리의 취약점을 감지할 수 있습니다. 범위에는 애플리케이션의 소스 코드, 의존하는 라이브러리 및 컨테이너 이미지가 포함됩니다. 애플리케이션 및 API의 행동 테스트는 런타임에만 발생하는 취약점을 감지할 수 있습니다. 리포지터리 스캔 # 프로젝트 리포지터리에는 소스 코드, 의존성 선언 및 인프라 정의가 포함될 수 있습니다. 리포지터리 스캔은 각각의 취약점을 감지할 수 있습니다. 리포지터리 스캔 도구에는 다음이 포함됩니다: SAST(정적 애플리케이션 보안 테스팅): 취약점에 대한 소스 코드를 분석합니다. IaC(코드형 인프라) 스캔: 애플리케이션의 인프라 정의에서 취약점을 감지합니다. 시크릿 감지: 리포지터리에 커밋되는 시크릿을 감지하고 차단합니다. 의존성 스캔: 애플리케이션의 의존성 및 컨테이너 이미지의 취약점을 감지합니다. 행동 테스팅 # 행동 테스팅은 알려진 취약점 및 예상치 못한 동작을 테스트하기 위한 배포 가능한 애플리케이션이 필요합니다. 행동 테스팅 도구에는 다음이 포함됩니다: DAST(동적 애플리케이션 보안 테스팅): 알려진 공격 벡터에 대해 애플리케이션을 테스트합니다. API 보안 테스팅: 알려진 공격 및 입력에 대한 취약점에 대해 애플리케이션의 API를 테스트합니다. 커버리지 가이드 퍼즈 테스팅: 예상치 못한 동작에 대해 애플리케이션을 테스트합니다. 스캐너