AI로 취약점 해결

AI로 취약점 해결에 대해 설명합니다.

모델 정보 기본 LLM Amazon Q용 LLM: Amazon Q Developer 자체 호스팅 모델과 함께하는 GitLab Duo 에서 사용 가능: 예 GitLab Duo 취약점 해결은 보안 취약점을 자동으로 해결하는 데 도움을 줍니다. 개요 보기 책임감 있게 AI 지원 사용 # 모든 AI 기반 시스템과 마찬가지로 대규모 언어 모델이 항상 올바른 결과를 생성한다는 것을 보장할 수 없습니다. 병합하기 전에 항상 제안된 변경 사항을 검토해야 합니다. 검토할 때 다음을 확인합니다: 애플리케이션의 기존 기능이 보존됩니다. 취약점이 조직의 표준에 따라 해결됩니다. 전제 조건 # 프로젝트의 구성원이어야 합니다. 취약점은 지원되는 분석기의 SAST 발견이어야 합니다: 모든 GitLab 지원 분석기 . 각 취약점에 대한 취약점 위치와 CWE 식별자를 보고하는 적절히 통합된 타사 SAST 스캐너. 취약점은 지원되는 유형 이어야 합니다. 모든 GitLab Duo 기능을 활성화하는 방법 에 대해 자세히 알아보십시오. 취약점 해결에서 지원되는 취약점 # 제안된 해결책의 품질을 보장하기 위해 취약점 해결은 특정 취약점 집합에서만 사용할 수 있습니다. 이 시스템은 취약점의 CWE(Common Weakness Enumeration) 식별자를 기반으로 취약점 해결을 제공할지 여부를 결정합니다. 현재 취약점 집합은 자동화 시스템 및 보안 전문가의 테스트를 기반으로 선택했습니다. 더 많은 유형의 취약점으로 적용 범위를 확장하기 위해 적극적으로 작업 중입니다. 취약점 해결에서 지원되는 CWE의 전체 목록 보기 CWE-23: 상대 경로 순회 CWE-73: 파일 이름 또는 경로의 외부 제어 CWE-78: OS 명령에 사용된 특수 요소의 부적절한 중립화('OS 명령 삽입') CWE-80: 웹 페이지의 스크립트 관련 HTML 태그의 부적절한 중립화(기본 XSS) CWE-89: SQL 명령에 사용된 특수 요소의 부적절한 중립화('SQL 삽입') CWE-116: 부적절한 출력 인코딩 또는 이스케이프 CWE-118: 인덱스 가능 리소스에 대한 잘못된 액세스('범위 오류') CWE-119: 메모리 버퍼 범위 내 작업의 부적절한 제한 CWE-120: 입력 크기를 확인하지 않고 버퍼 복사('클래식 버퍼 오버플로') CWE-126: 버퍼 과다 읽기 CWE-190: 정수 오버플로 또는 래핑 CWE-200: 무권한 행위자에게 민감한 정보 노출 CWE-208: 관찰 가능한 타이밍 불일치 CWE-209: 민감한 정보가 포함된 오류 메시지 생성 CWE-272: 최소 권한 위반 CWE-287: 부적절한 인증 CWE-295: 부적절한 인증서 유효성 검사 CWE-297: 호스트 불일치를 통한 인증서의 부적절한 유효성 검사 CWE-305: 기본 취약점에 의한 인증 우회 CWE-310: 암호화 문제 CWE-311: 민감한 데이터의 암호화 누락 CWE-323: 암호화에서 논스, 키 쌍 재사용 CWE-327: 손상되거나 위험한 암호화 알고리즘 사용 CWE-328: 약한 해시 사용 CWE-330: 충분히 무작위