SBOM을 사용한 의존성 스캔으로 마이그레이션

SBOM을 사용한 의존성 스캔으로 마이그레이션에 대해 설명합니다.

히스토리 Gemnasium 분석기 기반의 의존성 스캔 기능이 GitLab 17.9에서 deprecated되었으며 GitLab 20.0에서 제거될 예정입니다. 단, 제거 일정은 확정되지 않았으며 필요에 따라 Gemnasium을 계속 사용할 수 있습니다. 의존성 스캔 기능이 GitLab SBOM 취약성 스캐너로 업그레이드됩니다. 이 변경의 일환으로, SBOM을 사용한 의존성 스캔 기능과 새로운 의존성 스캔 분석기 가 Gemnasium 분석기 기반의 레거시 의존성 스캔 기능을 대체합니다. 그러나 이 전환에 따른 중요한 변경사항으로 인해 기존 프로젝트는 자동으로 마이그레이션되지 않으며 이 문서는 마이그레이션 가이드 역할을 합니다. GitLab 의존성 스캔을 사용하고 다음 조건 중 하나에 해당하는 경우 이 마이그레이션 가이드를 따르세요: 의존성 스캔 CI/CD 작업이 의존성 스캔 CI/CD 템플릿을 포함하여 구성된 경우. include: - template: Jobs/Dependency-Scanning.gitlab-ci.yml - template: Jobs/Dependency-Scanning.latest.gitlab-ci.yml 의존성 스캔 CI/CD 작업이 스캔 실행 정책 을 사용하여 구성된 경우. 의존성 스캔 CI/CD 작업이 파이프라인 실행 정책 을 사용하여 구성된 경우. 변경 사항 이해 # 프로젝트를 SBOM을 사용한 의존성 스캔으로 마이그레이션하기 전에, 도입되는 근본적인 변경 사항을 이해해야 합니다. 이 전환은 기술적 발전, GitLab에서 의존성 스캔이 작동하는 방식에 대한 새로운 접근법, 그리고 사용자 경험에 대한 다양한 개선 사항을 나타내며, 그 중 일부는 다음을 포함하지만 이에 국한되지 않습니다: 향상된 언어 지원. deprecated된 Gemnasium 분석기는 Python과 Java 버전의 소수 집합으로 제한됩니다. 새로운 분석기는 조직에 이전 프로젝트에서 구형 버전의 툴체인을 사용하는 데 필요한 유연성을 제공하며, 분석기 이미지의 주요 업데이트를 기다리지 않고 새로운 버전을 시험해 볼 수 있는 옵션을 제공합니다. 또한 새 분석기는 향상된 파일 커버리지 의 혜택을 받습니다. 향상된 성능. Gemnasium 분석기가 호출하는 빌드는 거의 한 시간이 걸릴 수 있으며 프로젝트의 자체 빌드 작업이 이미 수행한 작업과 중복될 수 있습니다. 새로운 분석기는 기존 락파일 또는 의존성 그래프 내보내기를 우선하며 락파일이 없는 생태계에 대해서만 실행됩니다. 이러한 작업 은 최소한의 생태계 이미지를 사용하고 기본 패키지 관리자 명령을 실행하여 프로젝트의 의존성 그래프를 생성합니다. 생성된 의존성 그래프는 파일 아티팩트로 저장되어 보안 스캔 및 SBOM 생성을 위해 dependency-scanning 작업에 전달됩니다. 더 작은 공격 표면. 빌드 기능을 지원하기 위해 Gemnasium 분석기는 다양한 툴체인과 의존성이 미리 로드됩니다. 새로운 분석기는 의존성 탐지를 의존성 해석에서 분리합니다. 분석기 이미지는 락파일 및 그래프 내보내기를 파싱하