Merge request approval policies

Merge request approval policies 관련 내용을 설명합니다.

Merge request approval policies

Restrictions

Pipeline requirements

Best practices for using security scanners with merge request approval policies

머지 리퀘스트 승인 정책을 적용하기 전에 보안 스캐너 확인

여러 파이프라인이 있는 머지 리퀘스트

머지 리퀘스트 승인 정책 편집기

머지 리퀘스트 승인 정책 스키마

scan_finding 규칙 유형

vulnerability_attributes object

scanner_with_attributes object

license_finding rule type

licenses 오브젝트

licenses_with_package_exclusion 오브젝트

packages 오브젝트

any_merge_request 규칙 타입

require_approval 액션 타입

유효한 구성 예시

잘못된 구성 예시

send_bot_message 액션 유형

봇 메시지 예시

경고 모드

경고 모드 구성

approval_settings

승인 설정의 적용 범위

fallback_behavior

policy_tuning

unblock_rules_using_execution_policies

security_report_time_window

정책 범위 스키마

bypass_settings

소스 브랜치 예외

액세스 토큰 및 서비스 계정 예외

사용자의 보안 정책 우회 허용

보안 정책 프로젝트의 policy.yml 예시

머지 리퀘스트 승인 정책 에디터 예시

머지 리퀘스트 승인 정책 승인 이해하기

머지 리퀘스트 승인 정책 비교 범위

위험 수용 및 향후 머지 리퀘스트에서 취약점 무시하기

추가 승인

승인 요건 평가에 사용되는 스캔 결과 관리

Fix Available 또는 False Positive 속성으로 정책 위반 필터링하기

정책 평가 및 취약점 상태 변경

보안 보고서와 정책 봇의 불일치 파악

불일치가 발생하는 일반적인 시나리오

일관된 결과를 위한 모범 사례

문제 해결

머지 리퀘스트 규칙 위젯에 머지 리퀘스트 승인 정책이 유효하지 않거나 중복됨으로 표시됨

새로 탐지된 CVE

policy.yml을 수동으로 무효화한 후에도 정책이 여전히 적용됨

보안 스캔 누락

보안 봇 코멘트에 표시되는 Target: none

머지 리퀘스트 승인 정책 디버깅을 위한 지원 요청

머지 리퀘스트 승인 정책의 불일치 승인

탐지된 취약점을 수정하는 머지 리퀘스트에 승인이 필요한 경우

병합 결과 파이프라인과 브랜치 파이프라인 간의 일관성 없는 정책 평가

Merge request approval policies # - Tier: Ultimate - Offering: GitLab.com, GitLab Self-Managed, GitLab Dedicated History GitLab 15.6에서 그룹 수준 스캔 결과 정책이 도입됨 . 스캔 결과 정책 기능은 GitLab 16.9에서 머지 리퀘스트 승인 정책으로 이름이 변경됨. 스캔 결과 정책 기능은 GitLab 16.9에서 머지 리퀘스트 승인 정책으로 이름이 변경됨. 머지 리퀘스트 승인 정책은 다음을 포함한 다양한 용도로 사용할 수 있습니다. 보안 및 라이선스 스캐너의 결과를 감지하여 승인 규칙을 적용합니다. 예를 들어, 머지 리퀘스트 정책의 한 유형인 보안 승인 정책은 하나 이상의 보안 스캔 job의 결과를 기반으로 승인이 요구되도록 설정할 수 있습니다. 머지 리퀘스트 승인 정책은 CI 스캔 job이 완전히 실행된 후 평가되며, 취약점 유형 및 라이선스 유형 정책 모두 완료된 파이프라인에 게시된 job 아티팩트 보고서를 기반으로 평가됩니다. 특정 조건을 충족하는 모든 머지 리퀘스트에 승인 규칙을 적용합니다. 예를 들어, 기본 브랜치를 타깃으로 하는 모든 MR에 대해 Developer 및 Maintainer 권한을 가진 여러 사용자가 검토하도록 강제합니다. 프로젝트에 보안 및 컴플라이언스 설정을 적용합니다. 예를 들어, MR에 변경 내용을 작성하거나 커밋한 사용자가 해당 MR을 승인하지 못하도록 방지합니다. 또는 모든 변경 사항이 MR을 통해 이루어지도록 사용자가 기본 브랜치에 푸시하거나 강제 푸시하지 못하도록 방지합니다. 보호된 브랜치가 생성되거나 삭제될 때, 정책 승인 규칙이 1분의 지연 후 동기화됩니다. 다음 동영상은 GitLab 머지 리퀘스트 승인 정책(이전 이름: 스캔 결과 정책)에 대한 개요를 제공합니다. 동영상 보기: Overview of GitLab Scan Result Policies . Restrictions # 머지 리퀘스트 승인 정책은 보호된 타깃 브랜치에서만 적용할 수 있습니다. 각 정책에 최대 5개의 규칙을 할당할 수 있습니다. 각 보안 정책 프로젝트에 최대 5개의 머지 리퀘스트 승인 정책을 할당할 수 있습니다. 그룹 또는 하위 그룹에 대해 생성된 정책은 그룹 내 모든 머지 리퀘스트에 적용되기까지 시간이 걸릴 수 있습니다. 소요 시간은 프로젝트 수와 해당 프로젝트의 머지 리퀘스트 수에 따라 결정됩니다. 일반적으로 수 초가 소요됩니다. 이전 관측에 따르면 수천 개의 프로젝트와 머지 리퀘스트가 있는 그룹의 경우 몇 분이 걸릴 수 있습니다. 머지 리퀘스트 승인 정책은 아티팩트 보고서에서 생성된 스캔 결과의 무결성이나 진위 여부를 확인하지 않습니다. 머지 리퀘스트 승인 정책은 규칙에 따라 평가됩니다. 기본적으로 규칙이 유효하지 않거나 평가할 수 없는 경우 승인이 요구됩니다. 이 동작은 fallback_behavior 필드 를 통해 변경할 수 있습니다. Pipeline requirements # 머지 리퀘스트 승인 정책은 파이