보안 보고서 수집 개요

GitLab에서 보안 보고서 수집 프로세스, 주요 모델, 그리고 취약점이 생성·관리되는 방식을 설명합니다.

Vulnerability::Feedback 모델은 현재 지원 중단(deprecation) 절차를 진행 중이며, 이후 모든 개발에서 적극적으로 사용을 피해야 합니다. 현재는 문제가 발생할 경우 되돌릴 수 있도록 동등한 기능 수준을 유지하고 있지만, 16.0에서 제거될 예정입니다. Feedback 모델과 관련된 모든 인터랙션은 StateTransition , IssueLink , MergeRequestLink 모델로 대체됩니다. 자세한 내용은 이 에픽 에서 확인하실 수 있습니다. 자주 사용되는 용어 # Feedback # Vulnerabilities::Feedback 클래스의 인스턴스입니다. Vulnerability Findings가 Vulnerability로 승격되기 전에 사용자와의 인터랙션을 추적하기 위해 생성됩니다. 이 모델은 지원 중단(deprecated) 상태이며, Deprecate and remove Vulnerabilities::Feedback 에픽 의 일환으로 GitLab 16.0까지 제거될 예정입니다. Issue Link # Vulnerabilities::IssueLink 클래스의 인스턴스입니다. Vulnerability 레코드를 Issue 레코드에 연결하는 데 사용됩니다. Merge Request Link # Vulnerabilities::MergeRequestLink 클래스의 인스턴스입니다. Vulnerability 레코드를 MergeRequest 레코드에 연결하는 데 사용됩니다. Security Finding # Security::Finding 클래스의 인스턴스입니다. 특정 Security::Scan 에서 탐지된 특정 취약점의 메타데이터 저장소 역할을 합니다. 파이프라인 보안 보고서 , pipeline.securityReportFindings GraphQL 필드, Vulnerability Findings REST API에 필요한 모든 스캔 정보를 저장합니다. Security Scan # Security::Scan 클래스의 인스턴스입니다. Security Scan은 보안 스캔 결과로 출력된 Job Artifact 를 생성한 Ci::Build 를 나타내며, GitLab은 이를 인식하고 Security::Finding 레코드로 findings를 수집합니다. State Transition # Vulnerabilities::StateTransition 클래스의 인스턴스입니다. 이 모델은 해당 Vulnerability 레코드의 상태 변경을 나타냅니다. 예를 들어 안전하다고 판단된 취약점의 해제(dismissal)가 이에 해당합니다. Vulnerability # Vulnerability 클래스의 인스턴스입니다. Vulnerability 는 프로젝트의 기본 브랜치에서 탐지된 Vulnerabilities::Finding 레코드를 나타내며, present_on_default_branch 플래그가 false인 경우에는 기본 브랜치 외부에서 어떤 방식으로든 인터랙션이 발생한 finding을 나타냅니다. 예를 들어 해제( State Trans