취약점 스캐너 유지 관리
Tier: Free, Premium, Ultimate
Offering: GitLab.com, GitLab Self-Managed, GitLab Dedicated
Offering: GitLab.com, GitLab Self-Managed, GitLab Dedicated
요약
다음 취약점 스캐너 및 해당 데이터베이스는 정기적으로 업데이트됩니다: 동일한 주요 버전의 분석기를 사용하는 GitLab 버전에서는 최신 취약점 정의를 활용하기 위해 업데이트할 필요가 없습니다. 기존 취약점에 대한 가장 최신 취약점 정보를 얻으려면 기본 브랜치의 파이프라인을 다시 실행해야 할 수 있습니다.
다음 취약점 스캐너 및 해당 데이터베이스는 정기적으로 업데이트됩니다:
| 보안 스캔 도구 | 취약점 데이터베이스 업데이트 |
|---|---|
| 컨테이너 스캐닝 | 업스트림 스캐너의 최신 취약점 데이터베이스 업데이트로 새 이미지를 빌드하는 job이 매일 실행됩니다. GitLab은 데이터베이스가 48시간 이상 오래되면 엔지니어링 팀에 알리는 내부 경고를 통해 이 job을 모니터링합니다. 자세한 내용은 취약점 데이터베이스 업데이트를 참조하세요. |
| 종속성 스캐닝 - Gemnasium | National Vulnerability Database(NVD) 및 GitHub Advisory Database의 데이터를 사용하여 매시간 업데이트되는 GitLab 어드바이저리 데이터베이스에 의존합니다. |
| 동적 애플리케이션 보안 테스팅(DAST) | DAST 분석기는 주기적으로 업데이트됩니다. |
| 시크릿 감지 | GitLab은 감지 규칙을 유지 관리하고 커뮤니티 기여를 수락합니다. 관련 업데이트가 있는 경우 스캐닝 엔진은 월 1회 이상 업데이트됩니다. |
| 정적 애플리케이션 보안 테스팅(SAST) | 스캔 규칙의 소스는 각 지원되는 프로그래밍 언어에 사용되는 분석기에 따라 다릅니다. GitLab은 Semgrep 기반 분석기를 위한 규칙 세트를 유지 관리하고 내부 연구 및 사용자 피드백을 바탕으로 정기적으로 업데이트합니다. 다른 분석기의 경우 규칙 세트는 업스트림 오픈 소스 스캐너에서 가져옵니다. 관련 업데이트가 있는 경우 각 분석기는 월 1회 이상 업데이트됩니다. |
동일한 주요 버전의 분석기를 사용하는 GitLab 버전에서는 최신 취약점 정의를 활용하기 위해 업데이트할 필요가 없습니다. 보안 도구는 Docker 이미지로 출시됩니다. 이를 활성화하는 공급된 job 정의는 시맨틱 버저닝에 따라 주요 릴리스 태그를 사용합니다. 각 도구의 새 릴리스는 이러한 태그를 재정의합니다. 주요 분석기 버전에서 최신 버전의 스캐닝 도구를 자동으로 가져오지만 이 접근 방식에는 알려진 이슈가 있습니다.
Note
기존 취약점에 대한 가장 최신 취약점 정보를 얻으려면 기본 브랜치의 파이프라인을 다시 실행해야 할 수 있습니다.