SAST 거짓 양성 감지

SAST 결과에서 거짓 양성의 자동 감지 및 필터링.

히스토리 GitLab 18.7에서 enable_vulnerability_fp_detection 및 ai_experiment_sast_fp_detection 이라는 기능 플래그 와 함께 베타 로 도입 . 기본적으로 활성화됨. GitLab 18.10에서 일반적으로 사용 가능 . 정적 애플리케이션 보안 테스트(SAST) 스캔이 실행되면 GitLab Duo가 치명적 및 높은 심각도의 각 SAST 취약점을 자동으로 분석하여 거짓 양성일 가능성을 판단합니다. 감지는 GitLab 지원 SAST 분석기 의 취약점에 대해 사용할 수 있습니다. GitLab Duo 평가에는 다음이 포함됩니다: 신뢰도 점수: 결과가 거짓 양성일 가능성을 나타내는 수치 점수. 설명: 코드 컨텍스트와 취약점 특성을 기반으로 결과가 실제 양성인지 아닌지에 대한 맥락적 추론. 시각적 표시기: 취약점 보고서에서 거짓 양성 평가를 보여주는 배지. 감지는 각 보안 스캔 후 자동으로 실행되며 수동 트리거가 필요하지 않습니다. 결과는 AI 분석을 기반으로 하며 보안 전문가가 검토해야 합니다. 이 기능은 활성 구독이 있는 GitLab Duo가 필요합니다. 클릭형 데모는 SAST 거짓 양성 감지 플로우 를 참조하십시오. 자동 감지 # 거짓 양성 감지는 다음 경우에 자동으로 실행됩니다: SAST 보안 스캔이 기본 브랜치에서 성공적으로 완료됨. 스캔에서 치명적 또는 높은 심각도 취약점 감지됨. 프로젝트에 GitLab Duo 기능이 활성화됨. 분석은 백그라운드에서 수행되며 처리가 완료되면 취약점 보고서에 결과가 나타납니다. 수동 트리거 # 기존 취약점에 대한 거짓 양성 감지를 수동으로 트리거할 수 있습니다: 상단 표시줄에서 검색 또는 이동 을 선택하고 프로젝트를 찾습니다. 보안 > 취약점 보고서 를 선택합니다. 분석하려는 취약점을 선택합니다. 오른쪽 상단에서 거짓 양성 확인 을 선택하여 거짓 양성 감지를 트리거합니다. GitLab Duo 분석이 실행되고 취약점 상세 페이지에 결과가 표시됩니다. 구성 # 거짓 양성 감지를 사용하려면 다음이 필요합니다: GitLab Duo 애드온 구독(GitLab Duo Core, Pro, 또는 Enterprise). 프로젝트 또는 그룹에서 GitLab Duo 활성화 . 사용자 기본 설정에서 기본 GitLab Duo 네임스페이스 설정 . GitLab 18.7 이상. 거짓 양성 감지 활성화 # 거짓 양성 감지는 기본적으로 꺼져 있습니다. 이 기능을 사용하려면 그룹에서 기반 플로우를 활성화하고 프로젝트에서 기능을 켜야 합니다. 그룹에 기반 플로우 허용 # 그룹의 모든 프로젝트에서 기반 플로우를 사용할 수 있도록 허용할 수 있습니다. 개별 프로젝트는 여전히 프로젝트 설정에서 기능을 활성화해야 합니다. 그룹의 모든 프로젝트에 거짓 양성 감지를 허용하려면: 왼쪽 사이드바에서 검색 또는 이동 을 선택하고 그룹을 찾습니다. 설정 > GitLab Duo 를 선택합니다. 기반 플로우 허용 아래에서 SAST 거짓 양성 감지 체크박스를 선택합니다. 변경 사항 저장 을 선택합니다. 프로젝트