애플리케이션 보안 테스트 도입

애플리케이션 보안 테스트 도입에 대해 설명합니다.

범위

단계

파일럿 단계

파일럿 목표

파일럿 계획

파일럿 범위

보안 애플리케이션 보안 테스트 순서

파일럿 프로젝트 테스트

파일럿 프로젝트 테스트 설정

개발자를 위해

취약성 관리 워크플로우

효율적인 분류

효율적인 수정

취약성 예방

머지 리퀘스트 승인 정책

도입 단계

팀원에 대한 액세스 정의

도입 목표

도입 계획

대규모 애플리케이션 보안 테스트 구현

정책 상속 사용

스캔 실행 정책 구성

점진적으로 확장

더 안전한 개발 방식으로의 원활한 전환을 위해 단계별로 애플리케이션 보안 테스트 구현을 계획하세요. 이 가이드는 단계별로 조직 전반에 GitLab 애플리케이션 보안 테스트를 구현하는 데 도움을 드립니다. 파일럿 그룹에서 시작하여 점차적으로 커버리지를 확장함으로써 보안 이점을 극대화하면서 중단을 최소화할 수 있습니다. 단계적 접근 방식을 통해 팀이 모든 프로젝트로 확장하기 전에 애플리케이션 보안 테스트 도구와 워크플로우에 익숙해질 수 있습니다. 사전 요구사항: GitLab Ultimate. GitLab CI/CD 파이프라인에 대한 이해. 다음 GitLab 자기 주도 과정이 좋은 입문을 제공합니다: CI/CD 소개 핸즈온 실습: CI 기초 조직의 보안 요구사항 및 위험 허용 범위에 대한 이해. 범위 # 이 가이드는 구성, 취약성 관리, 예방 전략을 포함한 GitLab 애플리케이션 보안 테스트 기능의 단계적 구현을 계획하고 실행하는 방법을 다룹니다. 코드베이스를 보호하면서 기존 워크플로우의 중단을 최소화하기 위해 애플리케이션 보안 테스트를 점진적으로 도입하려는 것을 전제로 합니다. 단계 # 구현은 두 가지 주요 단계로 구성됩니다: 파일럿 단계 : 구성을 검증하고 팀을 교육하기 위해 제한된 프로젝트 집합에 애플리케이션 보안 테스트를 구현합니다. 도입 단계 : 파일럿 중에 얻은 지식을 사용하여 모든 대상 프로젝트로 애플리케이션 보안 테스트를 확장합니다. 파일럿 단계 # 파일럿 단계를 통해 더 넓은 도입 전에 최소한의 위험으로 애플리케이션 보안 테스트를 적용할 수 있습니다. 파일럿 단계를 시작하기 전에 다음 지침을 고려하세요: 보안 팀원, 개발자, 프로젝트 관리자를 포함한 주요 이해관계자를 파악합니다. 코드베이스를 대표하지만 일상 운영에 중요하지 않은 파일럿 프로젝트를 선택합니다. 개발자와 보안 팀원을 위한 교육 세션을 예약합니다. 개선 사항을 측정하기 위해 현재 보안 방식을 문서화합니다. 파일럿 목표 # 파일럿 단계는 여러 핵심 목표를 달성하는 데 도움이 됩니다: 개발을 늦추지 않으면서 애플리케이션 보안 테스트 구현 파일럿 중에 애플리케이션 보안 테스트 결과는 머지 리퀘스트를 차단하지 않고 개발자에게 UI에서 제공됩니다. 이 접근법은 현재 보안 상태에 대한 가치 있는 데이터를 수집하면서 파일럿 범위 밖의 프로젝트에 대한 위험을 최소화합니다. 도입 단계에서는 머지 리퀘스트에서 취약성이 감지될 때 추가 승인 게이트를 추가하기 위해 머지 리퀘스트 승인 정책 을 사용해야 합니다. 확장 가능한 탐지 방법 구축 더 넓은 도입 범위의 모든 프로젝트를 포함하도록 확장할 수 있는 방식으로 파일럿 프로젝트에 애플리케이션 보안 테스트를 구현합니다. 잘 확장되고 프로젝트 전반에 표준화할 수 있는 구성에 집중합니다. 스캔 시간 테스트 대표적인 코드베이스와 애플리케이션에서 스캔 시간을 테스트합니다. 취약성 수정 워크플로우 시뮬레이션 개발자 워크플로우에서 취약성 감지, 분류, 분석, 수정을 시뮬레이션합니다. 엔지니어가 발견 사항에 따라 조치를 취할 수 있는지 확인합니다.