보안 대시보드
Offering: GitLab.com, GitLab Self-Managed, GitLab Dedicated
GitLab 18.6은 고급 취약점 관리를 사용하는 개선된 버전의 보안 대시보드를 도입했습니다. Value Streams Dashboard 비교 패널에서도 취약점 메트릭을 볼 수 있으며, 이를 통해 조직의 소프트웨어 개발 워크플로우 맥락에서 보안 노출을 이해하는 데 도움이 됩니다.
히스토리
- 고급 검색이 있는 새 대시보드가 GitLab 18.6에서
project_security_dashboard_new및group_security_dashboard_new이라는 플래그와 함께 도입. 플래그는 기본적으로 비활성화. - 고급 검색이 있는 새 대시보드가 GitLab 18.7에서 GitLab.com, GitLab Self-Managed 및 GitLab Dedicated에서 활성화.
- 고급 검색이 있는 새 대시보드가 GitLab 18.8에서 일반 공개. 기능 플래그
project_security_dashboard_new및group_security_dashboard_new제거.
GitLab 18.6은 고급 취약점 관리를 사용하는 개선된 버전의 보안 대시보드를 도입했습니다. 자세한 내용은 새 보안 대시보드를 참조하세요.
Value Streams Dashboard의 취약점 메트릭#
히스토리
- GitLab 16.0에서 도입.
Value Streams Dashboard 비교 패널에서도 취약점 메트릭을 볼 수 있으며, 이를 통해 조직의 소프트웨어 개발 워크플로우 맥락에서 보안 노출을 이해하는 데 도움이 됩니다.
보안 대시보드#
보안 대시보드는 애플리케이션의 보안 상태를 평가하는 데 사용됩니다. GitLab은 프로젝트에서 실행되는 보안 스캐너가 감지한 취약점에 대한 메트릭, 등급 및 차트 모음을 제공합니다. 보안 대시보드는 다음과 같은 데이터를 제공합니다:
- 그룹의 모든 프로젝트에 대한 30, 60, 또는 90일 기간의 취약점 추세
- 취약점 심각도를 기반으로 각 프로젝트에 대한 알파벳 등급
- 지난 365일 내에 감지된 총 취약점 수 (심각도 포함)
보안 대시보드에서 제공하는 데이터를 사용하여 보안 상태를 개선하기 위한 결정을 내릴 수 있습니다. 예를 들어 365일 추세 보기를 사용하여 상당한 수의 취약점이 도입된 날을 확인할 수 있습니다. 그런 다음 그 특정 날에 수행된 코드 변경을 검토하여 향후 취약점 도입을 방지하는 더 나은 정책을 만들기 위한 근본 원인 분석을 수행할 수 있습니다.
개요는 보안 대시보드 - 고급 보안 테스트를 참조하세요.
사전 요구 사항#
보안 대시보드를 보려면 다음이 필요합니다:
- 그룹 또는 프로젝트에 대한 Developer 권한이 있어야 합니다.
- 프로젝트에 최소 하나의 보안 스캐너가 구성되어 있어야 합니다.
- 프로젝트의 기본 브랜치에서 보안 스캔이 성공적으로 수행되어야 합니다.
- 프로젝트에 감지된 취약점이 최소 1개 있어야 합니다.
보안 대시보드는 기본 브랜치에서 가장 최근에 완료된 파이프라인의 스캔 결과를 보여줍니다. 대시보드는 기본 브랜치에서 실행된 완료된 파이프라인의 결과로 업데이트됩니다. 머지되지 않은 다른 브랜치의 파이프라인에서 발견된 취약점은 포함되지 않습니다.
보안 대시보드 보기#
보안 대시보드는 프로젝트, 그룹 및 보안 센터 수준에서 볼 수 있습니다. 각 대시보드는 보안 상태에 대한 고유한 관점을 제공합니다.
프로젝트 보안 대시보드#
프로젝트 보안 대시보드는 특정 프로젝트에 대해 최대 365일의 기록 데이터와 함께 시간에 따라 감지된 취약점의 총 수를 보여줍니다. 대시보드는 기본 브랜치의 미해결 취약점에 대한 기록 보기입니다. 미해결 취약점은 Needs triage 또는 Confirmed 상태만 해당합니다 (Dismissed 또는 Resolved 취약점은 제외됩니다).
프로젝트의 보안 대시보드를 보려면:
- 상단 표시줄에서 Search or go to를 선택하고 프로젝트를 찾습니다.
- 왼쪽 사이드바에서 Secure > Security dashboard를 선택합니다.
- 필요한 항목을 필터링하고 검색합니다.
- 심각도별로 차트를 필터링하려면 범례 이름을 선택합니다.
- 특정 시간대를 보려면 시간 범위 핸들 ([scroll-handle])을 사용합니다.
- 차트의 특정 영역을 보려면 왼쪽 아이콘 ([marquee-selection])을 선택하고 차트 전체를 드래그합니다.
- 원래 범위로 재설정하려면 선택 제거 ([redo])를 선택합니다.
취약점 차트 다운로드#
문서, 프레젠테이션 등에 사용하기 위해 프로젝트 보안 대시보드에서 취약점 차트 이미지를 다운로드할 수 있습니다. 취약점 차트 이미지를 다운로드하려면:
- 상단 표시줄에서 Search or go to를 선택하고 프로젝트를 찾습니다.
- 왼쪽 사이드바에서 Secure > Security dashboard를 선택합니다.
- 차트를 이미지로 저장 ([download])을 선택합니다.
SVG 형식으로 이미지를 다운로드하라는 메시지가 표시됩니다.
그룹 보안 대시보드#
그룹 보안 대시보드는 그룹 및 하위 그룹의 모든 프로젝트 기본 브랜치에서 발견된 취약점에 대한 개요를 제공합니다. 그룹 보안 대시보드는 다음을 제공합니다:
- 30, 60 또는 90일 기간의 취약점 추세
- 가장 높은 심각도의 미해결 취약점에 따른 그룹의 각 프로젝트에 대한 알파벳 등급. 알파벳 등급은 다음 기준으로 할당됩니다:
| 등급 | 설명 |
|---|---|
| F | 하나 이상의 critical 취약점 |
| D | 하나 이상의 high 또는 unknown 취약점 |
| C | 하나 이상의 medium 취약점 |
| B | 하나 이상의 low 취약점 |
| A | 취약점 없음 |
그룹 보안 대시보드를 보려면:
-
상단 표시줄에서 Search or go to를 선택하고 그룹을 찾습니다.
-
왼쪽 사이드바에서 Secure > Security dashboard를 선택합니다.
-
시간 경과에 따른 취약점 차트 위에 커서를 가져가 취약점에 대한 자세한 내용을 확인합니다.
- 30, 60 또는 90일 기간에 걸친 취약점 추세를 표시할 수 있습니다 (기본값은 90일).
- 90일 이상의 집계된 데이터를 보려면
VulnerabilitiesCountByDayGraphQL API를 사용합니다. GitLab은 365일 동안 데이터를 유지합니다.
-
프로젝트 보안 상태 섹션의 화살표를 선택하여 특정 알파벳 등급에 해당하는 프로젝트를 확인합니다:
- 프로젝트에서 발견된 특정 심각도의 취약점 수를 볼 수 있습니다
- 프로젝트 이름을 선택하여 해당 프로젝트 보안 대시보드에 직접 접근할 수 있습니다
새 보안 대시보드#
히스토리
- 고급 취약점 관리를 사용하는 새 대시보드가 GitLab 18.6에서
project_security_dashboard_new및group_security_dashboard_new이라는 플래그와 함께 도입. 플래그는 기본적으로 비활성화. - 새 대시보드가 GitLab 18.7에서 GitLab Self-Managed 및 GitLab Dedicated에서 활성화.
- 새 대시보드가 GitLab 18.8에서 일반 공개. 기능 플래그
project_security_dashboard_new및group_security_dashboard_new제거.
보안 대시보드를 사용하여 애플리케이션의 보안 상태를 평가합니다. GitLab은 프로젝트에서 실행되는 보안 스캐너가 감지한 취약점에 대한 메트릭, 등급 및 차트 모음을 제공합니다. 보안 대시보드는 다음과 같은 데이터를 제공합니다:
- 그룹의 모든 프로젝트에 대한 30, 60 또는 90일 기간의 취약점 추세.
- 심각도별 미해결 취약점의 총 수.
- 프로젝트 간 취약점 위험을 비교하기 위한 총 위험 점수.
대시보드를 보기 위한 사전 요구 사항#
프로젝트 또는 그룹의 보안 대시보드를 보려면 다음이 필요합니다:
- 그룹 또는 프로젝트에 대한 Developer 이상의 권한.
- 프로젝트에 최소 하나의 보안 스캐너가 구성되어 있어야 합니다.
- 프로젝트의 기본 브랜치에서 보안 스캔이 성공적으로 수행되어야 합니다.
- 프로젝트에 최소 하나의 감지된 취약점이 있어야 합니다.
- 고급 취약점 관리 및 고급 검색이 활성화되어 있어야 합니다.
보안 대시보드는 기본 브랜치에서 가장 최근에 완료된 파이프라인의 스캔 결과를 보여줍니다. 대시보드는 기본 브랜치에서 실행된 완료된 파이프라인의 결과로 업데이트됩니다. 머지되지 않은 다른 브랜치의 파이프라인에서 발견된 취약점은 포함되지 않습니다.
보안 대시보드 보기#
보안 대시보드는 기본 브랜치에서 감지된 취약점 데이터로 구축된 필터링 가능한 차트 및 패널을 보여줍니다. 차트에는 시간 경과에 따른 취약점 및 심각도 수가 포함됩니다. 많은 차트의 데이터는 두 가지 범주로 그룹화됩니다:
- 미해결: Needs triage 또는 Confirmed 상태의 취약점 포함
- 종료: Dismissed 및 Resolved 상태의 취약점 포함
달리 명시되지 않는 한 차트와 패널에는 미해결 취약점만 포함됩니다.
프로젝트 또는 그룹의 보안 대시보드를 볼 수 있습니다. 각 대시보드는 보안 상태에 대한 고유한 관점을 제공합니다.
두 대시보드 모두 다음을 포함합니다:
보안 대시보드를 보려면:
- 상단 표시줄에서 Search or go to를 선택하고 프로젝트 또는 그룹을 찾습니다.
- 왼쪽 사이드바에서 Secure > Security dashboard를 선택합니다.
프로젝트 보안 대시보드#
프로젝트 보안 대시보드는 프로젝트의 기본 브랜치에서 감지된 취약점을 보여줍니다. 다음을 포함합니다:
- 시간 경과에 따른 취약점 차트, 최대 90일의 기록이 포함됩니다.
- 심각도 패널, 심각도별 미해결 취약점을 보여줍니다.
미해결 취약점은 Needs triage 또는 Confirmed 상태입니다. Dismissed 또는 Resolved 상태의 종료된 취약점은 이 차트에 포함되지 않습니다.
그룹 보안 대시보드#
그룹 보안 대시보드는 그룹 및 하위 그룹의 모든 프로젝트 기본 브랜치에서 발견된 취약점에 대한 개요를 제공합니다. 그룹 보안 대시보드는 다음을 제공합니다:
- 시간 경과에 따른 취약점 차트, 최대 90일의 기록이 포함됩니다.
- 심각도 패널, 심각도별 미해결 취약점을 보여줍니다.
- 위험 점수 패널, 총 위험 및 각 프로젝트의 위험을 보여줍니다.
- 기간별 취약점 차트, 기간 버킷별로 미해결 취약점을 그룹화합니다.
차트#
보안 대시보드에는 프로젝트 및 그룹의 취약점을 이해하고 조치를 취하는 데 도움이 되는 여러 차트가 포함되어 있습니다.
시간 경과에 따른 취약점#
시간 경과에 따른 취약점 차트는 프로젝트 및 그룹 대시보드 모두에서 사용 가능합니다. 30, 60 또는 90일 기간에 걸친 미해결 취약점 추세를 보여줍니다. 기본 범위는 30일입니다. GitLab은 365일 동안 취약점 데이터를 유지합니다.
차트를 사용하여 취약점이 언제 도입되었는지와 시간이 지남에 따라 어떻게 변하는지 식별합니다.
세부 정보를 보려면:
- 데이터 포인트 위에 커서를 가져가 해당 날의 취약점 수를 봅니다.
- 시간 프레임 선택기를 사용하여 30, 60 또는 90일 사이를 전환합니다.
- 범위 핸들 ([scroll-handle])을 드래그하여 특정 기간을 확대합니다.
- 드롭다운을 사용하여 심각도 (예: Critical, High, Medium)로 필터링합니다
- 버튼을 사용하여 다음 중 하나로 데이터를 그룹화합니다:
- 심각도: Critical, high, medium, low, info, unknown.
- 보고서 유형: SAST, DAST, 종속성 스캐닝 및 기타.
- 90일 이상, 마지막 365일 이내의 데이터를 탐색하려면
SecurityMetrics.vulnerabilitiesOverTimeGraphQL API를 사용합니다 - 더 이상 감지되지 않는 취약점은 자동으로 종료된 것으로 계산되지 않습니다. 필요한 경우 취약점 관리 정책을 사용하여 자동으로 종료합니다.
GitLab.com의 GitLab 18.8 (2026년 1월 공개)부터, GitLab Self-Managed 및 GitLab Dedicated의 GitLab 18.9 (2026년 2월 공개)부터 시간 경과에 따른 취약점 차트는 더 이상 감지되지 않는 취약점을 제외합니다. 이 접근 방식은 주의가 필요한 감지된 취약점 수를 더 정확하게 반영합니다. 이 변경으로 차트에 표시되는 총 취약점 수가 감소할 수 있습니다. 이 변경은 GitLab 18.9 이상에서 실행된 파이프라인에서 더 이상 감지되지 않는 취약점에 자동으로 적용됩니다. 백그라운드 마이그레이션이 이전 파이프라인의 나머지 취약점을 처리합니다.
이슈 590022 및 이슈 590018로 인해 시간 경과에 따른 취약점 차트의 취약점 수가 정확하지 않을 수 있습니다. 첫 번째 이슈는 종속성 스캐닝 및 컨테이너 스캐닝 취약점에 영향을 미칩니다. 두 번째 이슈는 dismissed 또는 resolved된 후 confirmed된 취약점에 영향을 미칩니다.
취약점 심각도 패널#
취약점 심각도 패널은 심각도별 미해결 취약점의 총 수를 보여줍니다.
세부 정보를 보려면:
- 심각도 패널에서 조사하려는 심각도를 찾습니다.
- 보기를 선택합니다.
- 취약점 보고서가 열리고 해당 심각도의 취약점만 포함됩니다.
- 설정한 페이지 수준 필터도 적용됩니다.
위험 점수 패널#
위험 점수 패널은 그룹의 전반적인 보안 위험을 보여줍니다. 패널에는 두 가지 보기가 있습니다:
- 그룹화 없음 (기본값) 보기는 그룹의 총 위험 점수를 보여줍니다:
- 원형 게이지는 계산된 위험 점수를 중앙에 표시합니다.
- 색상 막대는 위험 수준을 나타냅니다:
- 녹색: 낮은 위험
- 노란색: 중간 위험
- 주황색: 높은 위험
- 빨간색: 치명적 위험
- 프로젝트를 선택하여 각 프로젝트의 위험 점수를 비교합니다:
- 각 프로젝트 타일은 프로젝트의 위험 수준에 따라 색상이 지정됩니다.
- 타일 위에 커서를 가져가 프로젝트 이름과 위험 점수를 포함한 세부 정보를 봅니다.
- 타일을 선택하고 프로젝트 이름을 선택하여 해당 프로젝트의 취약점 보고서를 엽니다.
위험 점수는 다음을 포함한 여러 요소에서 계산됩니다:
- 취약점 심각도
- 취약점 기간
- KEV (알려진 악용 취약점) 상태
- EPSS (악용 예측 점수 시스템) 점수
기간별 취약점#
기간별 취약점 차트는 그룹 대시보드에서 사용 가능합니다. 처음 감지된 이후 경과한 시간을 기반으로 미해결 취약점의 분포를 보여줍니다. 심각도 또는 보고서 유형별로 취약점을 그룹화할 수 있어 해결 활동이 필요한 곳을 식별하는 데 도움이 됩니다.
세부 정보를 보려면:
- 데이터 포인트 위에 커서를 가져가 해당 기간 그룹의 취약점 수를 봅니다.
- 드롭다운 목록을 사용하여 심각도 (예: Critical, High, Medium)로 필터링합니다
- 버튼을 사용하여 다음 중 하나로 데이터를 그룹화합니다:
- 심각도: Critical, high, medium, low, info, unknown.
- 보고서 유형: SAST, DAST, 종속성 스캐닝 및 기타.
전체 대시보드 필터링#
두 가지 수준에서 결과를 필터링할 수 있습니다:
- 대시보드 필터: 전체 대시보드에 적용됩니다. 이 필터를 사용하면 모든 차트가 업데이트됩니다.
- 차트 및 패널 필터: 보고 있는 차트 또는 패널에만 적용됩니다.
사용 가능한 대시보드 필터:
- 보고서 유형: SAST, DAST, 종속성 스캐닝 및 기타를 포함한 스캐너별 필터.
- 프로젝트: 특정 프로젝트로 결과 제한. 그룹 보안 대시보드에서만 사용 가능.
그룹 보안 대시보드에서 다음으로도 필터링할 수 있습니다:
- 보안 속성: 프로젝트에 적용된 보안 속성으로 필터링합니다. 비즈니스 영향, 애플리케이션, 비즈니스 단위, 인터넷 노출 및 위치에 대한 카테고리가 포함됩니다. 이 필터는 포함적 (is one of 연산자 사용) 또는 배타적 (is not one of 연산자 사용)일 수 있습니다. 보안 속성을 구성하고 프로젝트에 적용하려면 보안 속성을 참조하세요.
대시보드 필터 동작:
- 필터는 모든 대시보드 차트 및 패널에 즉시 적용됩니다.
- 적용한 필터는 제거할 때까지 세션 전체에 계속 적용됩니다.
- 대시보드에서 취약점 보고서를 열면 활성 필터가 취약점 보고서에 자동으로 적용됩니다.
전체 대시보드에 필터를 적용하려면:
- 대시보드 상단의 필터 표시줄에서 **결과 필터링...**을 선택합니다.
- 드롭다운 목록에서 필터 유형을 선택합니다.
- 하나 이상의 필터 값을 선택합니다.