SAST 규칙

SAST 규칙에 대해 설명합니다.

GitLab SAST(정적 애플리케이션 보안 테스팅)는 잠재적인 취약점을 위해 코드를 스캔하는 일련의 분석기 를 사용합니다. 리포지터리에 있는 프로그래밍 언어를 기반으로 실행할 분석기를 자동으로 선택합니다. 각 분석기는 코드를 처리한 다음 규칙을 사용하여 소스 코드의 가능한 약점을 찾습니다. 분석기의 규칙은 보고하는 약점의 유형을 결정합니다. 규칙 범위 # SAST는 보안 약점 및 취약점에 초점을 맞춥니다. 일반적인 버그를 찾거나 전반적인 코드 품질 또는 유지 관리성을 평가하는 것을 목표로 하지 않습니다. GitLab은 실행 가능한 보안 약점과 취약점을 파악하는 데 중점을 두고 탐지 규칙 세트를 관리합니다. 규칙 세트는 가장 영향력 있는 취약점에 대한 광범위한 커버리지를 제공하면서 오탐지(취약점이 존재하지 않는 경우 보고되는 취약점)를 최소화하도록 설계되었습니다. SAST는 기본 구성으로 사용하도록 설계되었지만 필요한 경우 탐지 규칙을 구성 할 수 있습니다. 규칙 소스 # SAST에서 사용하는 취약점 탐지 규칙은 GitLab Advanced SAST 또는 Semgrep 기반 분석기 중 어떤 것을 사용하느냐에 따라 달라집니다. GitLab Advanced SAST # GitLab은 GitLab Advanced SAST 의 규칙을 만들고, 유지 관리하고, 지원합니다. 해당 규칙은 GitLab Advanced SAST 스캐닝 엔진의 교차 파일, 교차 기능 분석 기능을 활용하도록 맞춤 제작되었습니다. GitLab Advanced SAST 규칙 세트는 오픈 소스가 아니며 다른 분석기의 규칙 세트와 동일하지 않습니다. GitLab Advanced SAST가 감지하는 취약점 유형에 대한 자세한 내용은 취약점 탐지 기준 을 참조하세요. Semgrep 기반 분석기 # GitLab은 Semgrep 기반 GitLab SAST 분석기에서 사용하는 규칙을 만들고, 유지 관리하고, 지원합니다. 이 분석기는 단일 CI/CD 파이프라인 job에서 다양한 언어 를 스캔합니다. 다음을 결합합니다: Semgrep 오픈 소스 엔진. GitLab 관리형 오픈 소스 sast-rules 프로젝트 에서 관리되는 GitLab 관리형 탐지 규칙 세트. 취약점 추적 을 위한 GitLab 독점 기술. 기타 분석기 # GitLab SAST는 나머지 지원되는 언어 를 스캔하기 위해 다른 분석기를 사용합니다. 이 스캔에 대한 규칙은 각 스캐너의 업스트림 프로젝트에 정의되어 있습니다. 규칙 업데이트가 릴리스되는 방법 # GitLab은 고객 피드백과 내부 연구를 기반으로 정기적으로 규칙을 업데이트합니다. 규칙은 각 분석기의 컨테이너 이미지의 일부로 릴리스됩니다. 분석기를 특정 버전에 수동으로 고정 하지 않는 한 업데이트된 분석기 및 규칙을 자동으로 받습니다. 분석기 및 규칙은 관련 업데이트가 있는 경우 최소 월 1회 업데이트됩니다. 규칙 업데이트 정책 # SAST 규칙에 대한 업데이트는 주요 변경 사항 이 아닙니다. 즉, 사전 통보 없이 규칙이 추가, 제거 또는 업데이트될 수 있습니다. 그러나