보안 용어집

GitLab 보안 기능과 관련된 용어 정의.

이 용어집은 GitLab의 보안 기능과 관련된 용어 정의를 제공합니다. 일부 용어는 다른 곳에서 다른 의미를 가질 수 있지만, 이 정의들은 GitLab에 특화된 것입니다. Analyzer # 스캔 대상 유형 에서 보안 취약점을 분석하는 소프트웨어입니다. 내부적으로, 필요한 구성 매개변수를 수집하고, 대상을 스캐너 가 스캔 작업을 실행하는 데 필요한 표준 형식으로 변환하기 위한 데이터 변환을 수행할 책임이 있습니다. 마지막으로, 호출자가 요구하는 형식으로 보고서를 생성합니다. CI/CD 기반 애널라이저는 CI/CD 작업을 사용하여 GitLab에 통합됩니다. CI/CD 기반 애널라이저가 생성한 보고서는 작업이 완료된 후 아티팩트로 게시됩니다. GitLab은 이 보고서를 수집하여 사용자가 발견된 취약점을 시각화하고 관리할 수 있도록 합니다. 생성된 보고서는 보안 보고서 형식 을 따릅니다. 많은 GitLab 애널라이저는 Docker를 사용하여 래핑된 스캐너를 실행하는 표준 접근 방식을 따릅니다. 예를 들어, semgrep 이미지는 Semgrep 스캐너를 래핑하는 애널라이저입니다. 그러나 일부 애널라이저는 별도의 컨테이너가 아닌 GitLab Rails 또는 다른 대상 환경에서 직접 실행됩니다. 공격 표면(Attack surface) # 애플리케이션에서 공격에 취약한 다양한 위치입니다. Secure 제품은 스캔 중에 공격 표면을 발견하고 검색합니다. 각 제품은 공격 표면을 다르게 정의합니다. 예를 들어, SAST는 파일과 줄 번호를 사용하고, DAST는 URL을 사용합니다. 컴포넌트(Component) # 소프트웨어 프로젝트의 일부를 구성하는 소프트웨어 컴포넌트입니다. 라이브러리, 드라이버, 데이터 등 다양한 유형 이 있습니다. 코퍼스(Corpus) # 퍼저가 실행되는 동안 생성되는 의미 있는 테스트 케이스의 집합입니다. 각 의미 있는 테스트 케이스는 테스트 대상 프로그램에서 새로운 커버리지를 생성합니다. 코퍼스를 재사용하여 후속 실행에 전달해야 합니다. CNA # CVE 번호 부여 기관(CVE Numbering Authorities, CNAs)은 전 세계의 조직으로, Mitre Corporation 으로부터 각자의 범위 내에 있는 제품이나 서비스의 취약점에 CVE 를 할당할 권한을 부여받은 기관입니다. GitLab은 CNA입니다 . CVE # Common Vulnerabilities and Exposures (CVE®)는 공개적으로 알려진 사이버 보안 취약점의 공통 식별자 목록입니다. 이 목록은 Mitre Corporation 이 관리합니다. CVSS # Common Vulnerability Scoring System (CVSS)은 컴퓨터 시스템 보안 취약점의 심각도를 평가하기 위한 무료 오픈 업계 표준입니다. CWE # Common Weakness Enumeration (CWE™)은 보안 관련 영향을 미치는 일반적인 소프트웨어 및 하드웨어 약점 유형의 커뮤니티 개발 목록입니다. 약점은 소프트웨어 또는 하드웨어 구현, 코드, 설계 또는 아키텍처의