Infrastructure as Code 스캔

취약성 탐지, 구성 분석, 파이프라인 통합.

시작하기

다음 단계

결과 이해하기

지원되는 언어 및 프레임워크

IaC 스캔 최적화

룰셋 정의

규칙 비활성화

파일 스캔 비활성화

규칙 재정의

오프라인 구성

GitLab Runner 구성

로컬 IaC 분석기 이미지 사용

특정 분석기 버전 사용

지원되는 배포판

FIPS 지원 이미지 사용

자동 취약성 해결

보고서 JSON 형식

도입

트러블슈팅

IaC 스캔 결과가 예기치 않게 `더 이상 감지되지 않음`으로 표시

작업 로그의 `exec /bin/sh: exec format error` 메시지

Infrastructure as Code(IaC) 스캔은 CI/CD 파이프라인에서 실행되며 알려진 취약성에 대해 인프라 정의 파일을 확인합니다. 기본 브랜치에 커밋되기 전에 취약성을 식별하여 애플리케이션에 대한 위험을 사전에 처리합니다. IaC 스캔 분석기는 JSON 형식 보고서를 작업 아티팩트 로 출력합니다. GitLab Ultimate를 사용하면 IaC 스캔 결과도 처리되어 다음을 수행할 수 있습니다: 머지 리퀘스트에서 확인. 승인 워크플로우에 사용. 취약성 보고서에서 검토. 시작하기 # IaC 스캔이 처음인 경우 다음 단계에 따라 프로젝트에서 활성화합니다. 사전 요구사항: 프로젝트에 대한 Maintainer 또는 Owner 역할. 일관된 성능을 보장하기 위해 최소 4GB RAM. Docker 또는 Kubernetes 실행기가 있는 Linux 기반 GitLab Runner. GitLab.com의 호스팅 러너를 사용하는 경우 Docker 또는 Kubernetes 실행기가 기본적으로 활성화됩니다. Windows의 GitLab Runner는 지원되지 않습니다. AMD64 이외의 CPU 아키텍처는 지원되지 않습니다. GitLab CI/CD 구성( .gitlab-ci.yml )은 test 스테이지를 포함해야 합니다. test 스테이지는 기본적으로 포함되지만 스테이지를 재정의하는 경우 명시적으로 추가해야 합니다. IaC 스캔을 활성화하려면: 상단 표시줄에서 검색 또는 이동 을 선택하고 프로젝트를 찾습니다. 빌드 > 파이프라인 편집기 로 이동합니다. IaC 스캔 CI/CD 템플릿 또는 구성요소를 추가합니다. 템플릿을 사용하려면 다음 줄을 추가합니다: include: - template: Jobs/SAST-IaC.gitlab-ci.yml CI/CD 구성요소를 사용하려면 다음 줄을 추가합니다: include: - component: gitlab.com/components/sast/iac-sast@main 유효성 검사 탭을 선택한 다음 파이프라인 유효성 검사 를 선택합니다. 시뮬레이션이 성공적으로 완료되었습니다 메시지는 파일이 유효하다는 것을 확인합니다. 편집 탭을 선택합니다. 다음 필드를 완성합니다: 커밋 메시지. 브랜치. 예를 들어 add-iac . 이 변경 사항으로 새 머지 리퀘스트 시작 체크박스를 선택한 다음 변경 사항 커밋 을 선택합니다. 머지 리퀘스트 페이지가 열립니다. 표준 워크플로우에 따라 필드를 완성한 다음 머지 리퀘스트 생성 을 선택합니다. 표준 워크플로우에 따라 머지 리퀘스트를 검토하고 편집한 다음 병합 을 선택합니다. 이 시점에서 파이프라인에 IaC 스캔이 활성화됩니다: IaC 스캔 작업은 모든 파이프라인에서 실행되고 KICS 분석기를 실행합니다. 분석기는 프로젝트에 지원되는 IaC 파일이 포함되어 있는지 확인합니다. 지원되는 파일이 발견되면 분석기는 취약성을 스캔합니다. 지원되는 파일이 없으면 작업이 결과 없이 완료됩니다. 해당 작업은 파이프라인의 test 스테이지에 표시됩니다. IaC 스캔 예제 프로젝트 에서 작동하는 예제를