GitLab SAST 평가

테스트 코드베이스 선택, 스캔 구성, 결과 해석 및 다른 보안 도구와의 기능 비교를 통해 GitLab SAST를 평가하는 방법을 알아봅니다.

조직에서 사용하기 전에 GitLab SAST를 평가하려고 할 수 있습니다. 평가를 계획하고 수행할 때 다음 지침을 고려하세요. 중요 개념 # GitLab SAST는 팀이 공동으로 작성하는 코드의 보안을 개선하는 데 도움이 되도록 설계되었습니다. 코드를 스캔하고 결과를 보는 단계는 스캔되는 소스 코드 저장소를 중심으로 합니다. 스캔 프로세스 # GitLab SAST는 프로젝트에서 발견된 프로그래밍 언어에 따라 사용할 올바른 스캔 기술을 자동으로 선택합니다. Groovy를 제외한 모든 언어의 경우 GitLab SAST는 컴파일 또는 빌드 단계 없이 소스 코드를 직접 스캔합니다. 이렇게 하면 다양한 프로젝트에서 스캔을 더 쉽게 활성화할 수 있습니다. 자세한 내용은 지원되는 언어 및 프레임워크 를 참조하세요. 취약점이 보고되는 시기 # GitLab SAST 분석기 및 해당 규칙 은 개발 및 보안 팀의 노이즈를 최소화하도록 설계되었습니다. GitLab Advanced SAST 분석기가 취약점을 보고하는 시기에 대한 자세한 내용은 취약점 탐지 기준 을 참조하세요. 다른 플랫폼 기능 # SAST는 GitLab Ultimate의 다른 보안 및 컴플라이언스 기능과 통합됩니다. GitLab SAST를 다른 제품과 비교하는 경우 일부 기능이 SAST 대신 관련 GitLab 기능 영역에 포함되어 있을 수 있습니다: IaC 스캐닝 은 보안 문제에 대해 IaC(코드로서의 인프라) 정의를 스캔합니다. 시크릿 탐지 는 코드에서 유출된 시크릿을 찾습니다. 보안 정책 을 통해 스캔을 강제 실행하거나 취약점이 수정되도록 요구할 수 있습니다. 취약점 관리 및 보고 는 코드베이스에 존재하는 취약점을 관리하고 이슈 트래커와 통합됩니다. GitLab Duo 취약점 설명 및 취약점 해결 은 AI를 사용하여 취약점을 빠르게 수정하는 데 도움이 됩니다. 테스트 코드베이스 선택 # SAST를 테스트할 코드베이스를 선택할 때: 일반적인 개발 활동을 방해하지 않고 CI/CD 구성을 안전하게 수정할 수 있는 저장소에서 테스트합니다. SAST 스캔은 CI/CD 파이프라인에서 실행되므로 SAST를 활성화 하려면 CI/CD 구성을 약간 편집해야 합니다. 테스트를 위해 기존 저장소의 포크 또는 복사본을 만들 수 있습니다. 이렇게 하면 일반적인 개발을 방해할 가능성 없이 테스트 환경을 설정할 수 있습니다. 조직의 일반적인 기술 스택과 일치하는 코드베이스를 사용합니다. GitLab Advanced SAST가 지원하는 언어를 사용합니다. GitLab Advanced SAST는 다른 분석기 보다 더 정확한 결과를 생성합니다. 테스트 프로젝트에 GitLab Ultimate가 있어야 합니다. Ultimate만 다음과 같은 기능 을 포함합니다: GitLab Advanced SAST를 사용한 독점적인 파일 간, 함수 간 스캐닝. 스캔 결과를 가시적이고 실행 가능하게 만드는 머지 리퀘스트 위젯, 파이프라인 보안 보고서 및 기본 브랜치 취약점 보고서. 벤치마크 및 예시 프로젝트 # 테스트를 위해 벤치마크 또는 의도