정적 애플리케이션 보안 테스팅(SAST)

GitLab SAST를 사용하여 소스 코드의 보안 취약점을 CI/CD 파이프라인에서 자동으로 탐지하고 관리하는 방법을 설명합니다.

정적 애플리케이션 보안 테스팅(Static application security testing, SAST)은 소스 코드의 취약점이 프로덕션 환경에 도달하기 전에 발견합니다. CI/CD 파이프라인에 직접 통합된 SAST는 개발 중에 보안 문제를 식별하며, 이 시점이 수정이 가장 쉽고 비용 효율적입니다. 개발 후반부에 발견된 보안 취약점은 비용이 많이 드는 지연과 잠재적인 침해를 야기합니다. SAST 스캔은 각 커밋과 함께 자동으로 실행되어 워크플로를 방해하지 않고 즉각적인 피드백을 제공합니다. GitLab Duo로 거짓 양성 감소 및 취약점 해결 # DETAILS: Tier: Ultimate SAST 스캐너는 취약점 리포트에 노이즈를 생성하는 거짓 양성(false positive)을 생성할 수 있습니다. GitLab Duo는 취약점 관리를 지원합니다. 거짓 양성 탐지 # GitLab Duo 거짓 양성 탐지 는 심각도가 높고 치명적인 SAST 취약점을 자동으로 분석하여 거짓 양성 가능성이 있는 항목을 식별합니다. 이를 통해 보안 팀이 실제 취약점에 집중하고 수동 분류에 소요되는 시간을 줄일 수 있습니다. GitLab Duo 애드온이 있는 Ultimate 티어 고객의 경우, 거짓 양성 탐지는 각 보안 스캔 후 자동으로 실행되며 각 평가에 대한 신뢰도 점수와 설명을 제공합니다. 에이전틱 SAST 취약점 해결 # 에이전틱 SAST 취약점 해결(Agentic SAST Vulnerability Resolution) 은 높음(High) 및 치명적(Critical) 심각도 SAST 취약점에 대해 컨텍스트 인식 코드 수정이 포함된 머지 리퀘스트를 자동으로 생성합니다. 이 에이전틱 접근 방식은 멀티샷 추론을 사용하여 최소한의 사람 개입으로 취약점을 해결합니다. Ultimate 티어 고객의 경우, 에이전틱 취약점 해결은 특정 조건이 충족되는 취약점이 있을 때 각 보안 스캔 후 자동으로 실행됩니다. 기능 # 다음 표에는 각 기능을 사용할 수 있는 GitLab 티어가 나와 있습니다. 기능 Free 및 Premium Ultimate 오픈 소스 분석기를 사용한 기본 스캔 check-sm check-sm 다운로드 가능한 SAST JSON 리포트 check-sm check-sm GitLab Advanced SAST를 사용한 파일 간, 함수 간 스캔 No check-sm 머지 리퀘스트 리포트의 새 결과 No check-sm 머지 리퀘스트 변경 사항 보기의 새 결과 No check-sm 취약점 관리 No check-sm GitLab Duo 거짓 양성 탐지 (GitLab Duo 애드온 필요) No check-sm 에이전틱 SAST 취약점 해결 No check-sm UI 기반 스캐너 구성 No check-sm 룰셋 커스터마이징 No check-sm 고급 취약점 추적 No check-sm 시작하기 # UI를 사용하거나 프로젝트의 GitLab CI/CD 구성 파일을 편집하여 프로젝트에서 SAST를 활성화하세요. Note 기본적으로 SAST는 브랜치 파이프라인에서만 실행됩니다. 머