튜토리얼: 파이프라인 시크릿 감지로 프로젝트 보호

튜토리얼: 파이프라인 시크릿 감지로 프로젝트 보호에 대해 설명합니다.

애플리케이션이 외부 리소스를 사용하는 경우, 일반적으로 토큰이나 키 같은 시크릿으로 애플리케이션을 인증해야 합니다. 시크릿이 원격 리포지터리에 push되면, 리포지터리에 액세스할 수 있는 누구나 사용자 또는 애플리케이션을 가장할 수 있습니다. 파이프라인 시크릿 감지는 CI/CD job을 사용하여 GitLab 프로젝트에서 시크릿을 확인합니다. 이 튜토리얼에서는 프로젝트를 만들고, 파이프라인 시크릿 감지를 구성하고, 결과를 분석하는 방법을 알아봅니다: 프로젝트 만들기 job 출력 확인 머지 리퀘스트 파이프라인 활성화 가짜 시크릿 추가 시크릿 분류 유출 복구 시작하기 전에 # 이 튜토리얼을 시작하기 전에 다음이 있는지 확인합니다: GitLab.com 계정. 파이프라인 시크릿 감지의 모든 기능을 활용하려면 Ultimate 계정을 사용하는 것이 좋습니다. CI/CD에 대한 기본적인 친숙함. 프로젝트 만들기 # 먼저 프로젝트를 만들고 시크릿 감지를 활성화합니다: 오른쪽 상단 모서리에서 새로 만들기 (+)를 선택한 다음 새 프로젝트/리포지터리 를 선택합니다. 빈 프로젝트 만들기 를 선택합니다. 프로젝트 세부 정보를 입력합니다: 이름과 프로젝트 슬러그를 입력합니다. 프로젝트 배포 대상(선택 사항) 드롭다운 목록에서 계획된 배포 없음 을 선택합니다. README로 리포지터리 초기화 체크박스를 선택합니다. 이렇게 하면 나중에 프로젝트에 콘텐츠를 추가할 수 있습니다. 시크릿 감지 활성화 체크박스를 선택합니다. 프로젝트 만들기 를 선택합니다. 새 프로젝트가 만들어지고 README 및 .gitlab-ci.yml 파일로 초기화됩니다. CI/CD 구성에는 Security/Secret-Detection.gitlab-ci.yml 템플릿이 포함되며, 이를 통해 프로젝트에서 파이프라인 시크릿 감지가 활성화됩니다. job 출력 확인 # 파이프라인 시크릿 감지는 secret_detection 이라는 CI/CD job에서 실행됩니다. 스캔 결과는 CI/CD job 로그에 기록됩니다. 각 스캔은 job 아티팩트로 포괄적인 보고서도 생성합니다. 가장 최근 스캔 결과를 확인하려면: 왼쪽 사이드바에서 빌드 > Job 을 선택합니다. 가장 최근 secret_detection job을 선택합니다. 새 파이프라인을 실행하지 않은 경우 job이 하나만 있어야 합니다. 로그 출력에서 다음을 확인합니다: 분석기 버전 및 규칙 세트를 포함한 스캔에 대한 정보. 시크릿 감지를 자동으로 활성화했으므로 프로젝트는 기본 규칙 세트를 사용합니다. 시크릿이 감지되었는지 여부. no leaks found 가 표시되어야 합니다. 전체 보고서를 다운로드하려면 Job 아티팩트 에서 다운로드 를 선택합니다. 머지 리퀘스트 파이프라인 활성화 # 지금까지 파이프라인 시크릿 감지를 사용하여 기본 브랜치의 커밋을 스캔했습니다. 그러나 기본 브랜치로 머지하기 전에 머지 리퀘스트의 커밋을 분석하려면 머지 리퀘스트 파이프라인을 활성화해야 합니다. 이를 위해: .gitlab-ci.yml 파일에 다음 줄을 추가합니다: variab