시크릿 감지

감지, 방지, 모니터링, 저장, 취소 및 보고.

애플리케이션은 CI/CD 서비스, 데이터베이스 또는 외부 스토리지를 포함한 외부 리소스를 사용할 수 있습니다. 이러한 리소스에 대한 액세스는 일반적으로 개인 키 및 토큰과 같은 정적 방법을 사용하는 인증이 필요합니다. 이러한 방법은 다른 사람과 공유되지 않아야 하므로 "시크릿"이라고 합니다. 시크릿 노출 위험을 최소화하려면 항상 저장소 외부에 시크릿을 저장 하세요. 그러나 시크릿이 실수로 Git 저장소에 커밋되는 경우가 있습니다. 민감한 값이 원격 저장소에 푸시된 후에는 저장소에 액세스할 수 있는 모든 사람이 시크릿을 사용하여 승인된 사용자를 가장할 수 있습니다. 시크릿 감지는 활동을 모니터링하여 다음 두 가지를 수행합니다: 시크릿이 유출되지 않도록 도움을 제공합니다. 시크릿이 유출된 경우 대응하도록 도움을 제공합니다. 다층 보안 접근 방식을 취하고 사용 가능한 모든 시크릿 감지 방법을 활성화해야 합니다: 시크릿 푸시 보호 는 GitLab에 변경 사항을 푸시할 때 커밋에서 시크릿을 스캔합니다. 시크릿 푸시 보호를 건너뛰지 않으면 시크릿이 감지될 경우 푸시가 차단됩니다. 이 방법은 시크릿이 유출될 위험을 줄입니다. 파이프라인 시크릿 감지 는 프로젝트의 CI/CD 파이프라인의 일부로 실행됩니다. 저장소의 기본 브랜치에 대한 커밋이 시크릿에 대해 스캔됩니다. 파이프라인 시크릿 감지가 Merge request 파이프라인에서 활성화된 경우, 개발 브랜치에 대한 커밋이 시크릿에 대해 스캔되어 기본 브랜치에 커밋되기 전에 대응할 수 있습니다. 클라이언트 사이드 시크릿 감지 는 GitLab에 저장되기 전에 이슈 및 Merge request의 설명과 댓글에서 시크릿을 스캔합니다. 시크릿이 감지되면 입력을 편집하여 시크릿을 제거하거나, 거짓 양성인 경우 설명 또는 댓글을 저장하도록 선택할 수 있습니다. 시크릿이 저장소에 커밋된 경우 GitLab은 취약점 보고서에 노출을 기록합니다. 일부 시크릿 유형의 경우 GitLab은 노출된 시크릿을 자동으로 취소할 수도 있습니다. 노출된 시크릿은 가능한 한 빨리 취소하고 교체해야 합니다. 시크릿별 수정 지침은 취약점 보고서에 제공된 세부 정보를 검토하세요. GitLab Duo를 사용한 거짓 양성 감소 # 시크릿 감지 스캐너는 취약점 보고서에 노이즈를 생성하는 거짓 양성을 생성할 수 있습니다. GitLab Duo 거짓 양성 감지 기능은 시크릿 감지 발견 결과를 자동으로 분석하여 가능성 있는 거짓 양성을 식별합니다. 이를 통해 보안 팀이 실제 시크릿에 집중하고 수동 분류에 소요되는 시간을 줄일 수 있습니다. GitLab Duo 애드온이 있는 Ultimate 티어 고객의 경우, 거짓 양성 감지는 각 보안 스캔 후 자동으로 실행되며 각 평가에 대한 설명과 함께 신뢰도 점수를 제공합니다. 관련 주제 # 시크릿 감지 제외 취약점 보고서 유출된 시크릿에 대한 자동 응답 Push 규칙 시크릿 거짓 양성 감지