SBOM을 사용한 종속성 스캔

CycloneDX SBOM을 활용하여 애플리케이션 종속성의 알려진 취약점을 스캔하는 방법을 설명합니다. 구성 및 언어별 설정 방법을 안내합니다.

히스토리 GitLab 17.1에서 도입 되었으며 dependency_scanning_using_sbom_reports 플래그와 함께 GitLab 17.3에서 공식 출시되었습니다. GitLab 17.5에서 GitLab.com, GitLab Self-Managed, GitLab Dedicated에서 활성화 되었습니다. GitLab 17.4에서 잠금 파일 기반 종속성 스캔 분석기가 실험 으로 출시되었습니다. GitLab 17.5에서 잠금 파일 기반 종속성 스캔 분석기 지원과 함께 종속성 스캔 CI/CD 컴포넌트 0.4.0 버전이 출시되었습니다. GitLab 17.9에서 Cargo, Conda, Cocoapods, Swift를 위한 최신 종속성 스캔 CI/CD 템플릿에서 기본적으로 활성화 되었습니다. GitLab 17.10에서 기능 플래그 dependency_scanning_using_sbom_reports 가 제거되었습니다. CycloneDX SBOM을 사용한 종속성 스캔은 애플리케이션의