보안 스캐닝 결과

보안 스캐닝 결과에 대해 설명합니다.

히스토리 GitLab 17.9에서 dependency_scanning_for_pipelines_with_cyclonedx_reports 라는 플래그와 함께 도입 . 기본적으로 비활성화됨. GitLab 17.9에서 GitLab.com 및 GitLab Self-Managed에서 활성화 . 17.10에서 기능 플래그 dependency_scanning_for_pipelines_with_cyclonedx_reports 제거. GitLab에서 파이프라인 보안 스캐닝 결과를 보고 조치를 취합니다. 선택된 보안 스캐너가 파이프라인에서 실행되고 보안 보고서를 출력합니다. 이 보고서의 내용은 처리되어 GitLab에 표시됩니다. 프로젝트에서 결과를 생성하려면 보안 스캐닝이 구성되어 있어야 합니다. 보안 스캐너 구성에 대한 정보는 보안 구성 을 참조하십시오. 보안 스캔 결과를 이해하기 위한 주요 용어: 발견(Finding) : 발견은 개발 브랜치에서 식별된 잠재적 취약점입니다. 브랜치가 기본 브랜치에 병합되면 발견이 취약점이 됩니다. : 발견은 관련 CI/CD 작업 아티팩트가 만료되거나 파이프라인이 생성된 후 90일이 지나면 만료됩니다. 관련 작업 아티팩트가 잠겨 있더라도 마찬가지입니다. 취약점(Vulnerability) : 취약점은 기본 브랜치에서 식별된 소프트웨어 보안 약점입니다. : 취약점 레코드는 기본 브랜치에서 더 이상 감지되지 않더라도 보관 될 때까지 유지됩니다. 기본 브랜치에서 식별된 취약점은 취약점 보고서 에 나열됩니다. 보안 보고서 아티팩트 # 보안 스캐너는 브랜치 파이프라인과 활성화된 경우 머지 리퀘스트 파이프라인에서 실행됩니다. 각 보안 스캐너는 특정 보안 스캐너에서 감지된 모든 발견 또는 취약점의 세부 정보가 포함된 보안 보고서 아티팩트를 출력합니다. 자식 파이프라인 의 보안 보고서는 파이프라인 보안 보고서 및 머지 리퀘스트 위젯에 포함됩니다. 개발(비기본) 브랜치에서 발견에는 개발 브랜치가 생성될 때 대상 브랜치에 있는 모든 취약점이 포함됩니다. 발견은 관련 CI/CD 작업 아티팩트가 만료되거나 파이프라인이 생성된 후 90일이 지나면 만료됩니다. 관련 작업 아티팩트가 잠겨 있더라도 마찬가지입니다. 만료된 발견은 파이프라인의 보안 탭에 표시되지 않습니다. 재현하려면 파이프라인을 다시 실행합니다. 보안 보고서 다운로드 # 예를 들어 GitLab 외부에서 분석하거나 보관 목적으로 보안 보고서를 다운로드할 수 있습니다. 보안 보고서는 JSON 파일입니다. 전제 조건: 프로젝트에 대한 Developer, Maintainer 또는 소유자 역할이 있어야 합니다. 보안 보고서를 다운로드하려면: 상단 표시줄에서 검색 또는 이동 을 선택하고 프로젝트를 찾습니다. 빌드 > 파이프라인 을 선택합니다. 파이프라인을 선택합니다. 보안 탭을 선택합니다. 결과 다운로드 를 선택한 다음 원하는 보안 보고서를 선택합니다. 선택한 보안 보고서가 장치에 다운로드됩니다. 파이프라인 보안 보고서 # 파이프라인 보안 보고서에는 브랜치에서 감지된 모든 발견 또는 취약점의 세부