InfoGrab Docs

GitLab SAST 평가

요약

조직에서 사용하기 전에 GitLab SAST를 평가하려고 할 수 있습니다. GitLab SAST는 팀이 공동으로 작성하는 코드의 보안을 개선하는 데 도움이 되도록 설계되었습니다. GitLab SAST는 프로젝트에서 발견된 프로그래밍 언어에 따라 사용할 올바른 스캔 기술을 자동으로 선택합니다.

조직에서 사용하기 전에 GitLab SAST를 평가하려고 할 수 있습니다. 평가를 계획하고 수행할 때 다음 지침을 고려하세요.

중요 개념#

GitLab SAST는 팀이 공동으로 작성하는 코드의 보안을 개선하는 데 도움이 되도록 설계되었습니다. 코드를 스캔하고 결과를 보는 단계는 스캔되는 소스 코드 저장소를 중심으로 합니다.

스캔 프로세스#

GitLab SAST는 프로젝트에서 발견된 프로그래밍 언어에 따라 사용할 올바른 스캔 기술을 자동으로 선택합니다. Groovy를 제외한 모든 언어의 경우 GitLab SAST는 컴파일 또는 빌드 단계 없이 소스 코드를 직접 스캔합니다. 이렇게 하면 다양한 프로젝트에서 스캔을 더 쉽게 활성화할 수 있습니다. 자세한 내용은 지원되는 언어 및 프레임워크를 참조하세요.

취약점이 보고되는 시기#

GitLab SAST 분석기 및 해당 규칙은 개발 및 보안 팀의 노이즈를 최소화하도록 설계되었습니다.

GitLab Advanced SAST 분석기가 취약점을 보고하는 시기에 대한 자세한 내용은 취약점 탐지 기준을 참조하세요.

다른 플랫폼 기능#

SAST는 GitLab Ultimate의 다른 보안 및 컴플라이언스 기능과 통합됩니다. GitLab SAST를 다른 제품과 비교하는 경우 일부 기능이 SAST 대신 관련 GitLab 기능 영역에 포함되어 있을 수 있습니다:

  • IaC 스캐닝은 보안 문제에 대해 IaC(코드로서의 인프라) 정의를 스캔합니다.
  • 시크릿 탐지는 코드에서 유출된 시크릿을 찾습니다.
  • 보안 정책을 통해 스캔을 강제 실행하거나 취약점이 수정되도록 요구할 수 있습니다.
  • 취약점 관리 및 보고는 코드베이스에 존재하는 취약점을 관리하고 이슈 트래커와 통합됩니다.
  • GitLab Duo 취약점 설명취약점 해결은 AI를 사용하여 취약점을 빠르게 수정하는 데 도움이 됩니다.

테스트 코드베이스 선택#

SAST를 테스트할 코드베이스를 선택할 때:

  • 일반적인 개발 활동을 방해하지 않고 CI/CD 구성을 안전하게 수정할 수 있는 저장소에서 테스트합니다. SAST 스캔은 CI/CD 파이프라인에서 실행되므로 SAST를 활성화하려면 CI/CD 구성을 약간 편집해야 합니다.
    • 테스트를 위해 기존 저장소의 포크 또는 복사본을 만들 수 있습니다. 이렇게 하면 일반적인 개발을 방해할 가능성 없이 테스트 환경을 설정할 수 있습니다.
  • 조직의 일반적인 기술 스택과 일치하는 코드베이스를 사용합니다.
  • GitLab Advanced SAST가 지원하는 언어를 사용합니다. GitLab Advanced SAST는 다른 분석기보다 더 정확한 결과를 생성합니다.

테스트 프로젝트에 GitLab Ultimate가 있어야 합니다. Ultimate만 다음과 같은 기능을 포함합니다:

  • GitLab Advanced SAST를 사용한 독점적인 파일 간, 함수 간 스캐닝.
  • 스캔 결과를 가시적이고 실행 가능하게 만드는 머지 리퀘스트 위젯, 파이프라인 보안 보고서 및 기본 브랜치 취약점 보고서.

벤치마크 및 예시 프로젝트#

테스트를 위해 벤치마크 또는 의도적으로 취약한 애플리케이션을 사용하기로 선택한 경우 이러한 애플리케이션이 다음을 기억하세요:

  • 특정 취약점 유형에 초점을 맞춥니다. 벤치마크의 초점은 조직이 탐지 및 수정을 위해 우선시하는 취약점 유형과 다를 수 있습니다.
  • 조직이 소프트웨어를 구축하는 방식과 다를 수 있는 특정 방법으로 특정 기술을 사용합니다.
  • 특정 기준을 다른 기준보다 암묵적으로 강조할 수 있는 방식으로 결과를 보고합니다. 예를 들어 벤치마크가 재현율(더 적은 거짓 음성 결과)만을 기반으로 점수를 매기는 동안 정밀도(더 적은 거짓 양성 결과)를 우선시할 수 있습니다.

에픽 15296은 테스트를 위한 특정 프로젝트를 추천하는 작업을 추적합니다.

AI 생성 테스트 코드#

SAST 테스트를 위해 취약한 코드를 만드는 데 AI 도구를 사용하면 안 됩니다. AI 모델은 종종 실제로 악용할 수 없는 코드를 반환합니다.

예를 들어:

  • AI 도구는 매개변수를 받아 민감한 컨텍스트("싱크")에서 사용하는 작은 함수를 자주 작성하지만 실제로 사용자 입력을 받지 않습니다. 함수가 상수와 같이 프로그램에서 제어하는 값으로만 호출되는 경우 이는 안전한 설계일 수 있습니다. 사용자 입력이 먼저 살균되거나 유효성이 검사되지 않고 이러한 싱크로 흐를 수 있는 경우에만 코드가 취약합니다.
  • AI 도구는 실수로 코드를 실행하는 것을 방지하기 위해 취약점의 일부를 주석 처리할 수 있습니다.

이러한 비현실적인 예시에서 취약점을 보고하면 실제 코드에서 거짓 양성 결과가 발생합니다. GitLab SAST는 이러한 경우에 취약점을 보고하도록 설계되지 않았습니다.

테스트 수행#

사전 요구 사항:

  • 프로젝트에 대한 Maintainer 또는 Owner 권한.

테스트할 코드베이스를 선택한 후 테스트를 수행할 준비가 되었습니다. 다음 단계를 따를 수 있습니다:

  1. CI/CD 구성에 SAST를 추가하는 머지 리퀘스트(MR)를 만들어 SAST를 활성화합니다.
  2. 저장소의 기본 브랜치에 MR을 머지합니다.
  3. 취약점 보고서를 열어 기본 브랜치에서 발견된 취약점을 봅니다.
    • GitLab Advanced SAST를 사용하는 경우 스캐너 필터를 사용하여 해당 스캐너의 결과만 표시할 수 있습니다.
  4. 취약점 결과를 검토합니다.
    • SQL 주입 또는 경로 이동과 같이 오염된 사용자 입력과 관련된 GitLab Advanced SAST 취약점에 대한 코드 흐름 보기를 확인합니다.
    • GitLab Duo Enterprise가 있는 경우 취약점을 설명하거나 해결합니다.
  5. 새 코드가 개발될 때 스캔이 작동하는 방식을 보려면 애플리케이션 코드를 변경하고 새 취약점 또는 약점을 추가하는 새 머지 리퀘스트를 만듭니다.

GitLab SAST 평가

Tier: Ultimate
Offering: GitLab.com, GitLab Self-Managed, GitLab Dedicated
원문 보기
요약

조직에서 사용하기 전에 GitLab SAST를 평가하려고 할 수 있습니다. GitLab SAST는 팀이 공동으로 작성하는 코드의 보안을 개선하는 데 도움이 되도록 설계되었습니다. GitLab SAST는 프로젝트에서 발견된 프로그래밍 언어에 따라 사용할 올바른 스캔 기술을 자동으로 선택합니다.

조직에서 사용하기 전에 GitLab SAST를 평가하려고 할 수 있습니다. 평가를 계획하고 수행할 때 다음 지침을 고려하세요.

중요 개념#

GitLab SAST는 팀이 공동으로 작성하는 코드의 보안을 개선하는 데 도움이 되도록 설계되었습니다. 코드를 스캔하고 결과를 보는 단계는 스캔되는 소스 코드 저장소를 중심으로 합니다.

스캔 프로세스#

GitLab SAST는 프로젝트에서 발견된 프로그래밍 언어에 따라 사용할 올바른 스캔 기술을 자동으로 선택합니다. Groovy를 제외한 모든 언어의 경우 GitLab SAST는 컴파일 또는 빌드 단계 없이 소스 코드를 직접 스캔합니다. 이렇게 하면 다양한 프로젝트에서 스캔을 더 쉽게 활성화할 수 있습니다. 자세한 내용은 지원되는 언어 및 프레임워크를 참조하세요.

취약점이 보고되는 시기#

GitLab SAST 분석기 및 해당 규칙은 개발 및 보안 팀의 노이즈를 최소화하도록 설계되었습니다.

GitLab Advanced SAST 분석기가 취약점을 보고하는 시기에 대한 자세한 내용은 취약점 탐지 기준을 참조하세요.

다른 플랫폼 기능#

SAST는 GitLab Ultimate의 다른 보안 및 컴플라이언스 기능과 통합됩니다. GitLab SAST를 다른 제품과 비교하는 경우 일부 기능이 SAST 대신 관련 GitLab 기능 영역에 포함되어 있을 수 있습니다:

  • IaC 스캐닝은 보안 문제에 대해 IaC(코드로서의 인프라) 정의를 스캔합니다.
  • 시크릿 탐지는 코드에서 유출된 시크릿을 찾습니다.
  • 보안 정책을 통해 스캔을 강제 실행하거나 취약점이 수정되도록 요구할 수 있습니다.
  • 취약점 관리 및 보고는 코드베이스에 존재하는 취약점을 관리하고 이슈 트래커와 통합됩니다.
  • GitLab Duo 취약점 설명취약점 해결은 AI를 사용하여 취약점을 빠르게 수정하는 데 도움이 됩니다.

테스트 코드베이스 선택#

SAST를 테스트할 코드베이스를 선택할 때:

  • 일반적인 개발 활동을 방해하지 않고 CI/CD 구성을 안전하게 수정할 수 있는 저장소에서 테스트합니다. SAST 스캔은 CI/CD 파이프라인에서 실행되므로 SAST를 활성화하려면 CI/CD 구성을 약간 편집해야 합니다.
    • 테스트를 위해 기존 저장소의 포크 또는 복사본을 만들 수 있습니다. 이렇게 하면 일반적인 개발을 방해할 가능성 없이 테스트 환경을 설정할 수 있습니다.
  • 조직의 일반적인 기술 스택과 일치하는 코드베이스를 사용합니다.
  • GitLab Advanced SAST가 지원하는 언어를 사용합니다. GitLab Advanced SAST는 다른 분석기보다 더 정확한 결과를 생성합니다.

테스트 프로젝트에 GitLab Ultimate가 있어야 합니다. Ultimate만 다음과 같은 기능을 포함합니다:

  • GitLab Advanced SAST를 사용한 독점적인 파일 간, 함수 간 스캐닝.
  • 스캔 결과를 가시적이고 실행 가능하게 만드는 머지 리퀘스트 위젯, 파이프라인 보안 보고서 및 기본 브랜치 취약점 보고서.

벤치마크 및 예시 프로젝트#

테스트를 위해 벤치마크 또는 의도적으로 취약한 애플리케이션을 사용하기로 선택한 경우 이러한 애플리케이션이 다음을 기억하세요:

  • 특정 취약점 유형에 초점을 맞춥니다. 벤치마크의 초점은 조직이 탐지 및 수정을 위해 우선시하는 취약점 유형과 다를 수 있습니다.
  • 조직이 소프트웨어를 구축하는 방식과 다를 수 있는 특정 방법으로 특정 기술을 사용합니다.
  • 특정 기준을 다른 기준보다 암묵적으로 강조할 수 있는 방식으로 결과를 보고합니다. 예를 들어 벤치마크가 재현율(더 적은 거짓 음성 결과)만을 기반으로 점수를 매기는 동안 정밀도(더 적은 거짓 양성 결과)를 우선시할 수 있습니다.

에픽 15296은 테스트를 위한 특정 프로젝트를 추천하는 작업을 추적합니다.

AI 생성 테스트 코드#

SAST 테스트를 위해 취약한 코드를 만드는 데 AI 도구를 사용하면 안 됩니다. AI 모델은 종종 실제로 악용할 수 없는 코드를 반환합니다.

예를 들어:

  • AI 도구는 매개변수를 받아 민감한 컨텍스트("싱크")에서 사용하는 작은 함수를 자주 작성하지만 실제로 사용자 입력을 받지 않습니다. 함수가 상수와 같이 프로그램에서 제어하는 값으로만 호출되는 경우 이는 안전한 설계일 수 있습니다. 사용자 입력이 먼저 살균되거나 유효성이 검사되지 않고 이러한 싱크로 흐를 수 있는 경우에만 코드가 취약합니다.
  • AI 도구는 실수로 코드를 실행하는 것을 방지하기 위해 취약점의 일부를 주석 처리할 수 있습니다.

이러한 비현실적인 예시에서 취약점을 보고하면 실제 코드에서 거짓 양성 결과가 발생합니다. GitLab SAST는 이러한 경우에 취약점을 보고하도록 설계되지 않았습니다.

테스트 수행#

사전 요구 사항:

  • 프로젝트에 대한 Maintainer 또는 Owner 권한.

테스트할 코드베이스를 선택한 후 테스트를 수행할 준비가 되었습니다. 다음 단계를 따를 수 있습니다:

  1. CI/CD 구성에 SAST를 추가하는 머지 리퀘스트(MR)를 만들어 SAST를 활성화합니다.
  2. 저장소의 기본 브랜치에 MR을 머지합니다.
  3. 취약점 보고서를 열어 기본 브랜치에서 발견된 취약점을 봅니다.
    • GitLab Advanced SAST를 사용하는 경우 스캐너 필터를 사용하여 해당 스캐너의 결과만 표시할 수 있습니다.
  4. 취약점 결과를 검토합니다.
    • SQL 주입 또는 경로 이동과 같이 오염된 사용자 입력과 관련된 GitLab Advanced SAST 취약점에 대한 코드 흐름 보기를 확인합니다.
    • GitLab Duo Enterprise가 있는 경우 취약점을 설명하거나 해결합니다.
  5. 새 코드가 개발될 때 스캔이 작동하는 방식을 보려면 애플리케이션 코드를 변경하고 새 취약점 또는 약점을 추가하는 새 머지 리퀘스트를 만듭니다.