라이선스 승인 정책

머지 리퀘스트가 머지되기 전에 승인이 필요한 기준을 라이선스 승인 정책으로 지정하는 방법을 알아봅니다. 보호된 대상 브랜치에만 적용됩니다.

히스토리 GitLab 15.9에서 license_scanning_policies 라는 플래그 와 함께 도입됨 . GitLab 15.11에서 일반 제공 . 기능 플래그 license_scanning_policies 제거. 라이선스 승인 정책을 사용하여 머지 리퀘스트가 머지되기 전에 승인이 필요한 시점을 결정하는 기준을 지정합니다. 라이선스 승인 정책은 보호된 대상 브랜치에만 적용됩니다. 다음 동영상에서 이러한 정책에 대한 개요를 제공합니다. 동영상 보기: GitLab 라이선스 승인 정책 개요 . 새 라이선스 승인 정책 생성을 위한 사전 요구 사항 # 라이선스 승인 정책은 의존성 스캔 job의 출력에 의존하여 요구 사항이 충족되었는지 확인합니다. 의존성 스캔이 올바르게 구성되지 않아 열려 있는 MR과 관련된 의존성 스캔 job이 실행되지 않은 경우, 정책에는 요구 사항을 확인할 데이터가 없습니다. 보안 정책이 평가 데이터가 없는 경우 기본적으로 닫힌 상태로 실패하고 머지 리퀘스트에 취약점이 포함될 수 있다고 가정합니다. fallback_behavior 속성을 사용하여 기본 동작을 거부하고 정책이 열린 상태로 실패하도록 설정할 수 있습니다. 열린 상태로 실패하는 정책은 유효하지 않고 적용할 수 없는 모든 규칙이 차단 해제됩니다. 정책 시행을 보장하려면 대상 개발 프로젝트에서 의존성 스캔을 활성화해야 합니다. 다음과 같은 방법으로 달성할 수 있습니다: 모든 대상 개발 프로젝트에서 의존성 스캔이 실행되도록 강제하는 스캔 실행 정책 을 생성합니다. 개발 팀과 협력하여 각 프로젝트의 .gitlab-ci.yml 파일에서 의존성 스캔 을 구성하거나 보안 구성 을 사용하여 활성화합니다. 라이선스 승인 정책은 GitLab 지원 패키지 의 라이선스 정보가 필요합니다. 새 라이선스 승인 정책 생성 # 라이선스 컴플라이언스를 적용하기 위한 라이선스 승인 정책을 생성합니다. 라이선스 승인 정책을 생성하려면: 보안 정책 프로젝트 연결 을 개발 그룹, 하위 그룹 또는 프로젝트에 연결합니다(Owner 권한 필요). 상단 바에서 Search or go to 를 선택하고 프로젝트를 찾습니다. Secure > Policies 를 선택합니다. 새 머지 리퀘스트 승인 정책 을 생성합니다. 정책 규칙에서 License scanning 을 선택합니다. 어떤 라이선스에 승인이 필요한지 결정하는 기준 # 다음 유형의 기준을 사용하여 어떤 라이선스가 "승인됨" 또는 "거부됨"인지 결정하고 승인이 필요한 경우를 결정할 수 있습니다. 명시적으로 금지된 라이선스 목록의 라이선스가 감지된 경우. 허용 가능한 것으로 명시적으로 나열된 라이선스를 제외한 라이선스가 감지된 경우. 머지 리퀘스트 브랜치에서 감지된 라이선스를 기본 브랜치의 라이선스와 비교하는 기준 # 기본 브랜치에 있는 라이선스를 기반으로 승인이 필요한지 여부를 결정하는 데 다음 유형의 기준을 사용할 수 있습니다: 거부된 라이선스가 기본 브랜치에 아직 존재하지 않는 의존성의 일부인 경우에만 승인을 요구하도록 구성할 수 있습니다. 거부된