SBOM을 사용한 의존성 스캔

SBOM을 사용한 의존성 스캔에 대해 설명합니다.

| --- | --- | | dependency-scanning | registry.gitlab.com/security-products/dependency-scanning:2 | 19.x | | dependency-scanning:maven-resolution | registry.gitlab.com/security-products/dependency-resolution/ubi9/openjdk-21:1 | 18.x, 19.x | | dependency-scanning:gradle-resolution | registry.gitlab.com/security-products/dependency-resolution/ubi9/openjdk-17-with-gradle-8:1 | 19.x | | dependency-scanning:python-resolution | registry.gitlab.com/security-products/dependency-resolution/ubi9/python-312-minimal-with-piptools-7:9 | 18.x,19.x | 현재 이미지는 베이스 이미지 공급업체의 업스트림 패치를 반영하기 위해 정기적으로 재빌드됩니다. 이전 이미지 # 이 이미지들은 더 이상 사용되지 않으며(deprecated) 버그 수정이나 새 기능이 제공되지 않습니다. 컨테이너 레지스트리에서 계속 사용할 수 있으며, 해당 GitLab 버전과 함께 계속 작동합니다. 더 이상 사용되지 않는 이미지를 최신 GitLab 버전과 함께 사용하는 것은 지원되지 않으며 예상치 못한 결과가 발생할 수 있습니다. CI/CD job 프로덕션 이미지 GitLab 버전 지원 종료 버전 dependency-scanning registry.gitlab.com/security-products/dependency-scanning:1 18.x 19.0 dependency-scanning registry.gitlab.com/security-products/dependency-scanning:0 18.x 19.0 FIPS 준수 # 종속성 스캐닝 분석기 이미지와 모든 종속성 해석 이미지 는 FIPS 140 인증 암호화 모듈을 사용하는 Red Hat UBI 를 기반으로 합니다. FIPS가 활성화된 환경에서 추가 구성은 필요하지 않습니다. 결과 이해하기 # 종속성 스캐닝 분석기의 출력: 감지된 지원 잠금 파일(lockfile) 또는 의존성 그래프 내보내기(dependency graph export)마다 CycloneDX SBOM을 생성합니다. 스캔된 모든 SBOM 문서에 대한 단일 종속성 스캐닝 보고서(GitLab.com 및 GitLab Self-Managed 전용). 분석기가 지원되는 파일 을 찾지 못하면 종속성 스캐닝 job이 성공적으로 완료되고 CI/CD job 로그에 경고가 출력됩니다. 이 경우 CycloneDX SBOM이나 종속성 스캐닝 보고서는 생성되지 않습니다. CycloneDX Software Bill of Materials # 종속성 스캐닝 분석기는 지원되는 잠금