SARIF 보고서

서드파티 SARIF 보고서를 사용하여 GitLab 취약점 관리에 보안 결과를 추가하는 방법을 설명합니다.

히스토리 GitLab 18.11에서 sarif_ingestion 이라는 플래그와 함께 도입됨 . 기본적으로 비활성화됨. GitLab 19.1에서 기본적으로 활성화됨. Note 이 기능의 사용 가능 여부는 sarif_ingestion 이라는 기능 플래그로 제어됩니다. 자세한 내용은 히스토리를 참조하세요. 서드파티 SARIF 보고서를 사용하면 SARIF 2.1.0 스캐너의 결과를 GitLab 취약점 관리에 추가할 수 있습니다. CI/CD job이 SARIF를 생성하는 스캐너를 실행하고 SARIF 아티팩트를 추가합니다. GitLab은 아티팩트를 파싱, 검증하여 보안 결과로 추가합니다. 보고서를 추가하면 결과가 다음 페이지에서 네이티브 GitLab 스캐너의 결과와 함께 표시됩니다: 파이프라인 Security 탭 프로젝트 취약점 보고서 보안 대시보드 머지 리퀘스트 보안 위젯 보안 정책 서드파티 SARIF 보고서는 GitLab에서 제공하는 내장 스캐너를 보완합니다. GitLab이 네이티브로 제공하지 않는 서드파티 스캐너를 통합하거나, 이미 실행 중인 도구의 결과를 통합할 때 사용하세요. SARIF 보고서 추가 # SARIF 결과를 GitLab에 추가하려면: 사전 요구사항: 프로젝트에 대한 Maintainer 또는 Owner 권한. SARIF 2.1.0 파일을 생성하는 CI/CD job. .gitlab-ci.yml 파일에서 스캐너를 실행하고 SARIF 출력을 artifacts:reports:sarif 아티팩트로 저장하는 job을 정의하세요. 예시: sarif_scan: image: <scanner-image> script: - <scanner-command> --output sarif.json artifacts: reports: sarif: sarif.json 변경 사항을 커밋하고 푸시하세요. GitLab은 job이 완료되면 SARIF 파일을 파싱합니다. 파이프라인 Security 탭에서 추가된 결과를 확인하세요. CI/CD 아티팩트 참조는 artifacts:reports:sarif 를 참조하세요. 할당된 보고서 유형 # GitLab은 결과의 위치와 식별자를 기반으로 각 SARIF 결과에 취약점 보고서 유형을 할당합니다. 유형은 취약점 보고서에서 결과가 표시되는 위치와 보안 정책과의 상호 작용 방식을 결정합니다. GitLab은 다음 규칙을 순서대로 평가하여 결과와 일치하는 첫 번째 유형을 할당합니다. 규칙 할당된 보고서 유형 식별자 중 하나가 CVE인 경우. 종속성 스캐닝 식별자 중 하나가 시크릿 관련 CWE인 경우. 1 시크릿 탐지 기본값 (어떤 규칙도 일치하지 않는 경우) SAST 각주: 다음 CWE는 시크릿 관련입니다: CWE-798 (하드 코딩된 자격 증명) . CWE-259 (하드 코딩된 비밀번호) . CWE-321 (하드 코딩된 암호화 키) . CWE-522 (불충분하게 보호된 자격 증명) . CWE-312 (민감한 정보의 평문 저장) . CWE-319 (민감한 정보의 평문 전송) . CWE-256 (비밀번호의 평문 저장