취약점 관리 정책

GitLab에서 취약점 관리 정책을 정의하고 적용하여 취약점을 자동으로 해결하고, 트리아지 작업 부하를 줄이고, 일관된 수정을 보장합니다.

히스토리 GitLab 17.7에서 vulnerability_management_policy_type 이라는 플래그 로 프로젝트에 대한 정책 적용 지원이 도입 됨. 기본적으로 활성화됨. GitLab 17.8에서 그룹 수준에 대한 그룹 정책 적용 지원이 vulnerability_management_policy_type_group 이라는 플래그 로 도입 됨. 기본적으로 활성화됨. GitLab 17.9에서 일반적으로 사용 가능 해짐. 기능 플래그 vulnerability_management_policy_type 및 vulnerability_management_policy_type_group 이 제거됨. 취약점 관리 정책을 사용하여 더 이상 감지되지 않는 취약점을 자동으로 해결하거나, 특정 기준과 일치하는 취약점을 자동으로 무시하거나, 취약점 심각도 수준을 재정의합니다. 이를 통해 취약점 트리아지 작업 부하를 줄일 수 있습니다. 스캐너가 기본 브랜치에서 취약점을 감지하면 스캐너는 Needs triage 상태로 취약점 레코드를 생성합니다. 취약점이 수정되고 다음 보안 스캔이 실행되면 스캔은 레코드의 활동 로그에 No longer detected 를 추가하지만 레코드의 상태는 변경되지 않습니다. 수동으로 또는 취약점 관리 정책을 사용하여 상태를 Resolved 로 변경할 수 있습니다. 취약점 관리 정책은 규칙이 일관되게 적용되도록 합니다. 예를 들어, 다음을 수행하는 정책을 만들 수 있습니다: 다음 모든 기준을 충족하는 취약점을 자동으로 해결합니다: 기본 브랜치에서 더 이상 감지되지 않습니다. SAST 스캔에서 발견됩니다. 낮은 위험. Used in tests 이유로 테스트 파일에서 발견된 취약점을 자동으로 무시합니다. False positive 이유로 특정 CVE 식별자가 있는 취약점을 무시합니다. 취약점 관리 정책은 Needs triage 또는 Confirmed 상태의 취약점에만 영향을 미칩니다. 취약점 관리 정책은 파이프라인이 기본 브랜치에 대해 실행될 때 또는 어드바이저리 스캔에 의해 취약점이 감지될 때 적용됩니다. 정책이 자동 해결을 사용하는 경우, 동일한 스캐너에 의해 더 이상 감지되지 않고 정책 규칙과 일치하는 각 취약점에 대해: GitLab Security Policy Bot 사용자가 취약점 레코드의 상태를 Resolved 로 설정합니다. 상태 변경에 대한 메모가 취약점 레코드에 추가됩니다. 정책이 자동 무시를 사용하는 경우, 정책 기준과 일치하는 각 취약점에 대해: GitLab Security Policy Bot 사용자가 취약점 레코드의 상태를 Dismissed 로 설정합니다. 무시 이유가 정책 구성에 따라 설정됩니다. 상태 변경에 대한 메모가 취약점 레코드에 추가됩니다. 파이프라인 부하와 기간을 제한하기 위해 자동 해결 또는 자동 무시 작업에 대해 파이프라인당 최대 1,000개의 취약점이 처리됩니다. 자동 해결 또는 자동 무시 작업은 모든 일치하는 취약점이 처리될 때까지 후속 파이프라인에서 최대값까지 재개됩니다. 제한 사항 # 각