종속성 스캐닝

GitLab CI/CD 파이프라인에 통합된 레거시 종속성 스캐닝(Gemnasium 기반)의 설정, 지원 언어·패키지 관리자, 분석기 동작 방식 및 커스터마이징 방법을 설명합니다.

Gemnasium 분석기 기반의 종속성 스캐닝 기능은 GitLab 17.9에서 사용 중단(deprecated)되었으며, GitLab 20.0에서 제거될 예정입니다. 단, 제거 일정은 확정되지 않았으며 필요에 따라 Gemnasium을 계속 사용할 수 있습니다. 자세한 내용은 에픽 15961 을 참조하세요. 종속성 스캐닝은 CI/CD 파이프라인에 통합되어 자동으로 실행되며, 애플리케이션의 의존성에 존재하는 보안 취약점을 식별합니다. 브랜치가 머지되기 전에 스캔을 실행하여 머지 리퀘스트에서 보안 이슈를 즉시 확인할 수 있습니다. 이를 통해 코드를 머지하기 전에 잠재적인 취약점에 대한 정보를 바탕으로 의사 결정을 내릴 수 있습니다. 기본적으로 종속성 스캐닝은 런타임, 개발, 전이(중첩) 의존성을 포함하여 코드의 모든 의존성을 분석합니다. 개발 의존성은 선택적으로 스캔에서 제외할 수 있습니다. 개요는 종속성 스캐닝 - 고급 보안 테스트 를 참조하세요. 이 종속성 스캐닝 문서의 인터랙티브 읽기 및 실습 데모는 종속성 스캐닝 튜토리얼 - GitLab 애플리케이션 보안 파트 3 을 참조하세요. 다른 인터랙티브 읽기 및 실습 데모는 GitLab 애플리케이션 보안 시작하기 플레이리스트 를 참조하세요. 파이프라인 외부에서 의존성의 취약점을 스캔하려면 지속적 취약점 스캐닝 을 참조하세요. 종속성 스캐닝 활성화 # 다음 단계에 따라 프로젝트에서 종속성 스캐닝을 활성화하세요. 분석기를 활성화하려면 다음 중 하나를 선택하세요. 종속성 스캐닝이 포함된 Auto DevOps 를 활성화합니다. 사전 구성된 머지 리퀘스트를 사용합니다. 종속성 스캐닝을 적용하는 스캔 실행 정책 을 생성합니다. .gitlab-ci.yml 파일을 수동으로 편집합니다. CI/CD 컴포넌트를 사용합니다 사전 구성된 머지 리퀘스트 사용 # 이 방법은 .gitlab-ci.yml 파일에 종속성 스캐닝 템플릿이 포함된 머지 리퀘스트를 자동으로 준비합니다. 그런 다음 머지 리퀘스트를 머지하여 종속성 스캐닝을 활성화합니다. 이 방법은 기존 .gitlab-ci.yml 파일이 없거나 최소한의 구성 파일이 있을 때 가장 잘 작동합니다. 복잡한 GitLab 구성 파일이 있는 경우 파싱에 실패하고 오류가 발생할 수 있습니다. 이 경우 수동 방법을 사용하세요. 사전 요구사항: 프로젝트에 대한 Maintainer 또는 Owner 권한. .gitlab-ci.yml 파일에 test Stage가 필요합니다. Self-managed 러너의 경우, docker 또는 kubernetes 실행기를 사용하는 GitLab Runner. GitLab.com의 호스팅 러너의 경우 이 구성이 기본적으로 활성화되어 있습니다. 종속성 스캐닝을 활성화하려면: 상단 바에서 Search or go to 를 선택하고 프로젝트를 찾습니다. 왼쪽 사이드바에서 Secure > Security configuration 을 선택합니다. Dependency Scanning 행에서 Configure with a merge request 를 선택합니다. Creat