Security Review Agent

머지 리퀘스트에서 비즈니스 로직 취약점을 탐지하는 AI 에이전트인 Security Review Agent의 사용 방법을 설명합니다.

Status: Beta 히스토리 GitLab 19.1에서 도입됨 . 이 기능은 베타 상태입니다. Security Review Agent는 머지 리퀘스트에서 비즈니스 로직 취약점을 탐지하는 AI 에이전트입니다. 알려진 패턴을 스캔하는 정적 분석 도구와 달리, Security Review Agent는 코드의 의도를 추론합니다. 인가, 데이터 노출, 제어 흐름에 대한 잘못된 가정에서 발생하는 취약점을 식별합니다. Security Review Agent는 GitLab Duo Agent Platform 위에 구축된 파운데이션 에이전트 입니다. GitLab Duo Code Review 와 함께 작동하며, CWE 분류, 심각도 등급, 설명, 그리고 가능한 경우 한 번의 동작으로 적용할 수 있는 인라인 수정 제안이 포함된 스레드 diff 댓글로 결과를 게시합니다. 다음과 같은 경우 Security Review Agent를 활용하세요: 접근 제어 리뷰: 상태를 변경하는 작업에서 누락되거나 잘못 구성된 인가 확인을 식별합니다. 인가 격차 탐지: 객체 수준 및 함수 수준의 인가 문제(OWASP API #1 및 #3)를 탐지합니다. 비즈니스 로직 분석: 금융 또는 상태가 있는 작업에서의 경쟁 조건 등 악용될 수 있는 애플리케이션 워크플로의 결함을 탐지합니다. 정보 노출: 권한이 없는 호출자에게 민감한 데이터를 유출할 수 있는 코드 경로를 식별합니다. 대량 할당 위험: 의도하지 않은 필드를 사용자 입력에 노출할 수 있는 엔드포인트 또는 모델을 표시합니다. 사전 요건 # Security Review Agent를 사용하려면: 프로젝트에 대한 Developer, Maintainer, 또는 Owner 권한이 있어야 합니다. 최상위 그룹에 대해 파운데이션 플로와 Security Review 를 켜야 합니다. 그룹 또는 인스턴스에 대해 GitLab Duo를 켜야 합니다. GitLab Duo Pro 또는 Enterprise가 없는 경우, 최상위 그룹 또는 인스턴스에 대해 GitLab Duo Core를 켜야 합니다. GitLab Self-Managed의 경우, 인스턴스에 대해 GitLab Duo를 구성해야 합니다. GitLab 18.8 이상에서는 최상위 그룹에 대해 Agent Platform을 켜야 합니다. GitLab 18.7 이하에서는 베타 및 실험 기능을 켜야 합니다. 비용 # Security Review Agent는 리뷰를 수행할 때마다 GitLab Credits 를 사용합니다. 크레딧 소비는 머지 리퀘스트 diff의 복잡도에 따라 달라집니다. 다음 대략적인 추정치를 통해 일반적인 크레딧 사용량을 평가할 수 있습니다: 리뷰 복잡도 대략적인 LLM 호출 횟수 예상 크레딧 기본 ~6 TBD 중간 ~16 TBD 복잡 ~30 TBD 베타 릴리스 기간 동안 리뷰는 항상 수동으로 시작됩니다. 이를 통해 더 넓은 범위에 도입하기 전에 코드베이스에서의 일반적인 크레딧 사용량을 평가할 수 있습니다. Security Review Agent 사용 # 리뷰 요청 # 머지 리퀘스트가 생성된