GitLab Advanced SAST CWE 커버리지

GitLab Advanced SAST CWE 커버리지에 대해 설명합니다.

GitLab Advanced SAST 는 지원되는 언어 로 작성된 코드에서 많은 유형의 잠재적 보안 취약점을 찾습니다. GitLab은 각 잠재적 취약점에 일치하는 공통 약점 열거(CWE) 식별자를 할당합니다. CWE 식별자는 보안 취약점을 식별하는 업계 표준 방법이지만 다음 사항을 알아야 합니다: CWE는 트리 구조로 배열됩니다. 예를 들어 CWE-22: 경로 탐색 은 CWE-23: 상대 경로 탐색 의 상위입니다. 상대 경로 탐색 취약점(CWE-23)을 특별히 탐지하는 스캐너는 정의상 더 일반적인 경로 탐색 카테고리(CWE-22)의 일부도 탐지합니다. 명확성을 위해 이 표는 GitLab Advanced SAST 규칙에 할당된 정확한 CWE 식별자를 식별합니다. 상위 식별자는 보고하지 않습니다. GitLab Advanced SAST에서 사용되는 규칙에 대한 자세한 내용은 SAST 규칙 을 참조하세요. 언어별 CWE 커버리지 # GitLab Advanced SAST는 각 프로그래밍 언어에서 다음 유형의 취약점을 찾습니다: 의 job에 의해 자동으로 생성됩니다. --> CWE CWE 설명 C C++ C# Go Java JavaScript, TypeScript PHP Python Ruby CWE-15 시스템 또는 구성 설정의 외부 제어 [dotted-circle] No [dotted-circle] No [dotted-circle] No [dotted-circle] No [check-circle] Yes [dotted-circle] No [dotted-circle] No [dotted-circle] No [dotted-circle] No CWE-22 제한된 디렉토리로의 경로명 부적절한 제한 ('경로 탐색') [dotted-circle] No [dotted-circle] No [check-circle] Yes [check-circle] Yes [check-circle] Yes [check-circle] Yes [check-circle] Yes [check-circle] Yes [check-circle] Yes CWE-23 상대 경로 탐색 [dotted-circle] No [dotted-circle] No [dotted-circle] No [dotted-circle] No [dotted-circle] No [check-circle] Yes [dotted-circle] No [check-circle] Yes [dotted-circle] No CWE-73 파일 이름 또는 경로의 외부 제어 [dotted-circle] No [dotted-circle] No [dotted-circle] No [dotted-circle] No [check-circle] Yes [dotted-circle] No [dotted-circle] No [dotted-circle] No [check-circle] Yes CWE-76 동등한 특수 요소의 부적절한 중립화 [dotted-circle] No [dotted-circle] No [dotted-circle] No [dotted-c