보안 인벤토리를 사용하여 보안이 필요한 자산을 시각화하고 보안을 개선하기 위해 취해야 할 조치를 이해합니다. 보안 분야의 일반적인 표현으로 "볼 수 없는 것은 보호할 수 없다"는 말이 있습니다. 보안 인벤토리는 조직의 최상위 그룹의 보안 태세에 대한 가시성을 제공하고, 적용 범위 차이를 식별하고, 효율적인 위험 기반 우선순위 결정을 가능하게 합니다.

보안 인벤토리에는 다음이 표시됩니다:

• 그룹, 하위 그룹 및 프로젝트.
• 스캐너 활성화 방식에 관계없이 각 프로젝트의 보안 스캐너 적용 범위. 보안 스캐너에는 다음이 포함됩니다:
  • 정적 애플리케이션 보안 테스트(SAST)
  • 의존성 스캐닝
  • 컨테이너 스캐닝
  • 시크릿 감지
  • 동적 애플리케이션 보안 테스트(DAST)
  • 코드형 인프라(IaC) 스캐닝
• 심각도 수준별로 정렬된 각 그룹 또는 프로젝트의 취약점 수.

에픽 16939에서 보안 인벤토리의 개발을 추적합니다. 이 기능 개발이 계속됨에 따라 피드백을 공유해 주세요.

보안 인벤토리 보기#

전제 조건:

• 보안 인벤토리를 보려면 그룹에서 Security Manager, Developer, Maintainer 또는 Owner 권한이 있어야 합니다.

보안 인벤토리를 보려면:

1. 상단 표시줄에서 Search or go to를 선택하고 그룹을 찾습니다.
2. 왼쪽 사이드바에서 Secure > Security inventory를 선택합니다.
3. 다음 작업 중 하나를 완료합니다:
   • 그룹의 하위 그룹, 프로젝트 및 보안 자산을 보려면 그룹을 선택합니다.
   • 그룹 또는 프로젝트의 스캐너 적용 범위를 보려면 그룹 또는 프로젝트를 검색합니다.

스캐너 적용 범위#

보안 스캐너 상태는 기본 브랜치 파이프라인이 완료될 때 평가됩니다. 각 보안 스캐너는 모든 프로젝트 또는 그룹에 대해 다음 적용 범위 상태 중 하나를 표시합니다:

• 활성화되지 않음: 스캐너가 구성되어 있지 않습니다.

• 활성화됨: 스캐너가 구성되어 있으며 성공적으로 완료되었습니다.

• 실패: 스캐너가 실행되었지만 성공적으로 완료되지 않았습니다.

• 오래됨(Stale): 이전에 활성화된 스캐너가 최근 3번의 연속 파이프라인에서 실행되지 않았습니다.

보안 인벤토리에서 프로젝트 필터링#

보안 인벤토리에서 프로젝트를 필터링하여 특정 관심 영역에 집중할 수 있습니다. 다음 필터를 사용할 수 있습니다:

• 취약점 수: 식별된 취약점 수를 기준으로 프로젝트를 필터링합니다. 예: 치명적 취약점 ≥ 10인 프로젝트 표시.
• 도구 적용 범위: 보안 분석기의 상태(예: 활성화됨, 활성화되지 않음 또는 실패)를 기준으로 프로젝트를 필터링합니다. 예: 고급 SAST = 활성화됨인 프로젝트 표시.
• 프로젝트 이름: 이름으로 특정 프로젝트를 검색합니다.

이러한 필터는 대규모 인벤토리에서 결과를 좁히고 즉각적인 주의가 필요한 프로젝트를 더 쉽게 식별하는 데 도움이 됩니다.

관련 항목#

• 보안 대시보드
• 취약점 보고서
• GraphQL 참조:
  • AnalyzerGroupStatusType - 그룹 및 하위 그룹의 각 분석기 상태 수.
  • AnalyzerProjectStatusType - 프로젝트의 분석기 상태(성공/실패).
  • VulnerabilityNamespaceStatisticType - 그룹 및 하위 그룹의 각 취약점 심각도 수.
  • VulnerabilityStatisticType - 프로젝트의 각 취약점 심각도 수.

문제 해결#

보안 인벤토리로 작업할 때 다음 문제가 발생할 수 있습니다:

보안 인벤토리 메뉴 항목 누락#

일부 사용자는 Security inventory 메뉴 항목에 액세스하는 데 필요한 권한이 없습니다. 메뉴 항목은 인증된 사용자가 Security Manager, Developer, Maintainer 또는 Owner 권한을 가진 경우에만 그룹에 표시됩니다.