애플리케이션 보안 시작하기

애플리케이션을 테스트하고 취약점을 해결합니다.

애플리케이션 소스 코드의 취약점을 식별하고 해결합니다. 코드에서 잠재적인 보안 문제를 자동으로 스캔하여 소프트웨어 개발 라이프사이클에 보안 테스트를 통합합니다. 다양한 프로그래밍 언어 및 프레임워크를 스캔하고 SQL 인젝션, 크로스 사이트 스크립팅(XSS), 안전하지 않은 의존성과 같은 취약점을 감지할 수 있습니다. 보안 스캔 결과는 GitLab UI에 표시되며 검토하고 해결할 수 있습니다. 이러한 기능은 머지 리퀘스트 및 파이프라인과 같은 다른 GitLab 기능과 통합하여 개발 프로세스 전반에서 보안이 우선순위가 되도록 할 수 있습니다. 개요는 GitLab 애플리케이션 보안 채택 을 참조하세요. 대화형 읽기 및 사용법 데모 플레이리스트 보기 이 프로세스는 더 큰 워크플로우의 일부입니다: 1단계: 스캔에 대해 알아보기 # 시크릿 감지는 리포지터리를 스캔하여 시크릿이 노출되는 것을 방지하는 데 도움을 줍니다. 모든 프로그래밍 언어에서 작동합니다. 의존성 스캔은 알려진 취약점에 대해 애플리케이션의 의존성을 분석합니다. 특정 언어 및 패키지 관리자에서 작동합니다. 자세한 내용은 다음을 참조하세요: 시크릿 감지 의존성 스캔 2단계: 테스트할 프로젝트 선택 # GitLab 보안 스캔을 처음 설정하는 경우 단일 프로젝트부터 시작해야 합니다. 프로젝트는 다음 조건을 충족해야 합니다: 일부 스캔 기능은 언어마다 다르게 작동하기 때문에 조직의 일반적인 프로그래밍 언어 및 기술을 사용합니다. 팀의 일상적인 작업을 방해하지 않고 필수 승인과 같은 새로운 설정을 시도할 수 있습니다. 트래픽이 많은 프로젝트의 복사본을 만들거나 바쁘지 않은 프로젝트를 선택할 수 있습니다. 3단계: 스캔 활성화 # 프로젝트에서 유출된 시크릿 및 취약한 패키지를 식별하려면 시크릿 감지 및 의존성 스캔을 활성화하는 머지 리퀘스트를 만듭니다. 이 머지 리퀘스트는 .gitlab-ci.yml 파일을 업데이트하여 스캔이 프로젝트의 CI/CD 파이프라인의 일부로 실행되도록 합니다. 이 MR의 일부로 프로젝트의 레이아웃이나 구성에 맞게 설정을 변경할 수 있습니다. 예를 들어 서드파티 코드 디렉터리를 제외할 수 있습니다. 이 MR을 기본 브랜치에 머지한 후 시스템은 기준선 스캔을 만듭니다. 이 스캔은 기본 브랜치에 이미 존재하는 취약점을 식별합니다. 그러면 머지 리퀘스트에서 새로 도입된 문제를 강조 표시합니다. 기준선 스캔 없이는 머지 리퀘스트에서 기본 브랜치에 이미 존재하는 취약점이라도 브랜치의 모든 취약점을 표시합니다. 자세한 내용은 다음을 참조하세요: 시크릿 감지 활성화 시크릿 감지 설정 의존성 스캔 켜기 의존성 스캔 설정 4단계: 스캔 결과 검토 # 팀이 머지 리퀘스트와 취약점 보고서에서 보안 결과를 보는 데 익숙해지도록 합니다. 취약점 분류 워크플로우를 수립합니다. 취약점에서 생성된 이슈를 관리하는 데 도움이 되는 레이블과 이슈 보드를 만드는 것을 고려합니다. 이슈 보드를 사용하면 모든 이해 관계자가 모든 이슈에 대한 공통 보기를 가지고 해결 진행 상황을 추적할 수 있습니다. 보안 대시