CycloneDX 파일의 라이선스 스캔

CycloneDX 파일의 라이선스 스캔에 대해 설명합니다.

구성

지원되는 언어 및 패키지 관리자

데이터 소스

라이선스 표현식

감지된 라이선스를 기반으로 머지 리퀘스트 차단

오프라인 환경에서 실행

CycloneDX 보고서를 라이선스 정보 소스로 사용

라이선스 정보 소스 구성

트러블슈팅

CycloneDX 파일이 스캔되지 않고 결과를 제공하지 않음

사용하지 않는 라이선스 데이터 제거

CycloneDX SBOM에 대해 취약성 스캔 결과가 없음

의존성 라이선스가 알 수 없음

히스토리 GitLab 15.9에서 GitLab.com용으로 license_scanning_sbom_scanner 및 package_metadata_synchronization 이라는 두 플래그 와 함께 도입 . 두 플래그 모두 기본적으로 비활성화. GitLab 16.4에서 일반 공개 . 기능 플래그 license_scanning_sbom_scanner 및 package_metadata_synchronization 제거. 레거시 라이선스 준수 분석기( License-Scanning.gitlab-ci.yml )가 GitLab 17.0에서 제거 . GitLab 17.5에서 라이선스 정보의 데이터 소스로 CycloneDX 보고서 아티팩트 사용 지원 도입. 이 기능은 기능 플래그 license_scanning_with_sbom_licenses 뒤에 출시되었으며 기본적으로 비활성화. GitLab 17.6에서 라이선스 정보의 데이터 소스로 CycloneDX 보고서 아티팩트 사용이 기본적으로 활성화. 필요한 경우 기능을 비활성화하기 위해 기능 플래그 license_scanning_with_sbom_licenses 가 여전히 존재. GitLab 17.8에서 기능 플래그 license_scanning_with_sbom_licenses 제거. 사용 중인 라이선스를 감지하기 위해 라이선스 준수는 의존성 스캔 작업 을 실행하고 해당 작업에서 생성된 CycloneDX SBOM(Software Bill of Materials)을 분석합니다. 이 스캔 방법은 SPDX 목록 에 정의된 600가지 이상의 다양한 라이선스 유형을 파싱하고 식별할 수 있습니다. 서드파티 스캐너를 사용하여 의존성 목록을 생성할 수 있습니다. 단, 지원 언어 에 대한 CycloneDX 보고서 아티팩트를 생성하고 GitLab CycloneDX 속성 분류법을 따라야 합니다. 다른 라이선스를 제공하는 기능은 에픽 10861 에서 추적됩니다. Note 라이선스 스캔 기능은 외부 데이터베이스에서 수집된 공개적으로 사용 가능한 패키지 메타데이터를 기반으로 하며 GitLab 인스턴스와 자동으로 동기화됩니다. 이 데이터베이스는 미국에 호스팅된 멀티 리전 Google Cloud Storage 버킷입니다. 스캔은 GitLab 인스턴스 내에서만 실행됩니다. 컨텍스트 정보(예: 프로젝트 의존성 목록)는 외부 서비스로 전송되지 않습니다. 구성 # CycloneDX 파일의 라이선스 스캔을 활성화하려면: 의존성 스캔 템플릿 사용 의존성 스캔 을 켜고 사전 요구 사항이 충족되었는지 확인하세요. GitLab Self-Managed에서는 GitLab 인스턴스의 Admin 영역에서 동기화할 패키지 레지스트리 메타데이터를 선택 할 수 있습니다. 이 데이터 동기화가 작동하려면 GitLab 인스턴스에서 도메인 storage.googleapis.com 으로의 아웃바운드 네트워크 트래픽을 허용해야 합니다. 제한적이거나 네트워크 연결이 없는 경우 오프라인 환경에서 실행 문서 섹션을 참조하세요. 또는 해당 패키지 레지스트리에 대한 CI/C