룰셋 사용자 정의

GitLab에서 기본 규칙을 비활성화, 재정의 또는 교체하여 SAST 분석기 규칙을 사용자 정의합니다.

히스토리 GitLab 16.2에서 모호한 패스스루 참조 지정을 위한 지원이 활성화 되었습니다. Semgrep 기반 SAST 분석기와 GitLab Advanced SAST 분석기에는 각각 기본 룰셋 이 있습니다. 조직의 보안 요구사항에 맞게 규칙을 사용자 정의할 수 있습니다. 예를 들어 특정 규칙의 심각도 수준을 올리고 싶을 수 있습니다. 룰셋 용어집 # 규칙(Rule) : 특정 취약점을 스캔하는 개별 보안 검사 또는 감지 패턴. 규칙 파일(Rules file) : 분석기가 적용할 개별 규칙을 지정하는 YAML 형식 파일. 룰셋 구성 파일(Ruleset configuration file) : 적용할 룰셋과 해당 룰셋이 로컬 또는 원격에 저장되는지를 지정하는 TOML 형식 파일. 파일명은 sast-ruleset.toml . 패스스루(Passthrough) : 패스스루는 파일, Git 저장소, URL 또는 인라인 구성에서 룰셋 사용자 정의를 가져오는 구성 소스입니다. 여러 패스스루를 체인으로 결합할 수 있으며, 각각은 이전 구성을 덮어쓰거나 추가할 수 있습니다. 규칙 사용자 정의 옵션 # 규칙을 비활성화하거나, 메타데이터를 재정의하거나, 규칙을 교체하거나 추가하여 기본 룰셋을 사용자 정의할 수 있습니다. 아래 표는 각 분석기 유형에 대해 사용 가능한 사용자 정의 옵션을 보여줍니다. 사용자 정의 GitLab Advanced SAST GitLab Semgrep 기타 분석기 기본 규칙 비활성화 ✅ ✅ ✅ 기본 규칙 메타데이터 재정의 ✅ ✅ ✅ 기본 규칙 교체 또는 추가 기본 비오염, 구조적 규칙의 동작 수정 및 파일 및 원시 패스스루 적용을 지원합니다. 다른 패스스루 유형은 무시됩니다. 전체 패스스루를 지원합니다. ❌ Note GitLab 지원 범위는 Semgrep 분석기 통합 및 기본 룰셋으로 제한됩니다. 기본 규칙을 교체하거나 추가하는 경우 결과적으로 발생할 수 있는 호환성 문제를 관리해야 합니다. 자세한 내용은 Semgrep 분석기 호환성 문서 를 참조하세요. 기본 규칙 비활성화 # 모든 SAST 분석기에 대한 기본 규칙을 비활성화할 수 있습니다. 예를 들어 조직 정책에 따라 특정 규칙을 제외하고 싶을 수 있습니다. 다음 예제를 참조하세요: 기본 GitLab Advanced SAST 규칙 비활성화 기타 SAST 분석기의 기본 규칙 비활성화 기본 규칙 메타데이터 재정의 # 모든 SAST 분석기에 대한 기본 규칙의 특정 속성을 재정의할 수 있습니다. 예를 들어 조직 정책에 따라 취약점의 심각도를 재정의하거나 취약점 보고서에 표시할 다른 메시지를 선택할 수 있습니다. 예제는 기본 규칙 메타데이터 재정의 를 참조하세요. 기본 규칙 교체 또는 추가 # Semgrep 기반 SAST 분석기 및 GitLab Advanced SAST 분석기의 기본 규칙을 교체하거나 추가할 수 있습니다. 기본적으로 사용자 정의 룰셋을 정의하면 기본 룰셋이 교체됩니다. 기본 룰셋에 추가하려면 룰셋 구성 파일 에서 keepdefaultrules 를 true 로 설정해야 합니다.