SAST 분석기

SAST 분석기에 대해 설명합니다.

히스토리 GitLab 13.3에서 GitLab Ultimate에서 GitLab Free로 이동 되었습니다. 정적 애플리케이션 보안 테스트(SAST)는 분석기를 사용하여 소스 코드에서 취약점을 감지합니다. 각 분석기는 서드파티 코드 분석 도구인 스캐너 를 래핑한 것입니다. 분석기는 SAST가 각 분석을 위해 전용 컨테이너를 시작하는 데 사용하는 Docker 이미지로 게시됩니다. 분석기의 일관된 성능을 위해 최소 4GB RAM을 권장합니다. SAST 기본 이미지는 GitLab에서 유지 관리하지만 사용자 정의 이미지를 통합할 수도 있습니다. 각 스캐너에 대해 분석기는: 감지 로직을 노출합니다. 실행을 처리합니다. 출력을 표준 형식 으로 변환합니다. 공식 분석기 # SAST는 다음과 같은 공식 분석기를 지원합니다: gitlab-advanced-sast : 파일 간 및 함수 간 오염 분석과 향상된 감지 정확도를 제공합니다. Ultimate 전용. kubesec : Kubesec 기반. 기본적으로 비활성화됨. KubeSec 분석기 활성화 를 참조하세요. pmd-apex : Apex 언어에 대한 규칙이 있는 PMD 기반. semgrep : GitLab 관리 규칙 이 있는 Semgrep OSS 엔진 기반. sobelow : Sobelow 기반. spotbugs : Find Sec Bugs 플러그인이 있는 SpotBugs 기반 (Ant, Gradle 및 래퍼, Grails, Maven 및 래퍼, SBT). 지원 버전 # 공식 분석기는 GitLab 플랫폼과 별개로 컨테이너 이미지로 릴리스됩니다. 각 분석기 버전은 제한된 GitLab 버전 세트와 호환됩니다. 분석기 버전이 향후 GitLab 버전에서 더 이상 지원되지 않을 경우 이 변경 사항은 사전에 발표됩니다. 예를 들어 GitLab 17.0에 대한 공지 를 참조하세요. 각 공식 분석기에 대한 지원되는 주요 버전은 SAST CI/CD 템플릿 의 작업 정의에 반영됩니다. 이전 GitLab 버전에서 지원되는 분석기 버전을 보려면 SAST 템플릿 파일의 이전 버전(GitLab 16.11.0의 경우 v16.11.0-ee 등)을 선택하세요. 지원 종료(End of Support)에 도달한 분석기 # 다음 GitLab 분석기는 지원 종료(End of Support) 상태에 도달했으며 업데이트를 받지 않습니다. GitLab 관리 규칙 이 있는 Semgrep 기반 분석기로 대체되었습니다. GitLab 17.3.1 이상으로 업그레이드하면 일회성 데이터 마이그레이션이 지원 종료에 도달한 분석기의 발견 결과를 자동으로 해결 합니다. SpotBugs는 여전히 Groovy 코드를 스캔하기 때문에 아래 나열된 분석기 중 SpotBugs를 제외한 모든 분석기가 포함됩니다. 마이그레이션은 확인하거나 기각하지 않은 취약점만 해결하며, Semgrep 기반 스캔으로 자동 전환 된 취약점에는 영향을 미치지 않습니다. 자세한 내용은 이슈 444926 을 참조하세요. 분석기 스캔하는 언어 지원 종료 GitLab 버전 Bandit Python 1