InfoGrab Docs

SAST 거짓 양성 감지

요약

정적 애플리케이션 보안 테스트(SAST) 스캔이 실행되면 GitLab Duo가 치명적 및 높은 심각도의 각 SAST 취약점을 자동으로 분석하여 거짓 양성일 가능성을 판단합니다. GitLab Duo 평가에는 다음이 포함됩니다:

히스토리

정적 애플리케이션 보안 테스트(SAST) 스캔이 실행되면 GitLab Duo가 치명적 및 높은 심각도의 각 SAST 취약점을 자동으로 분석하여 거짓 양성일 가능성을 판단합니다. 감지는 GitLab 지원 SAST 분석기의 취약점에 대해 사용할 수 있습니다.

GitLab Duo 평가에는 다음이 포함됩니다:

  • 신뢰도 점수: 결과가 거짓 양성일 가능성을 나타내는 수치 점수.
  • 설명: 코드 컨텍스트와 취약점 특성을 기반으로 결과가 실제 양성인지 아닌지에 대한 맥락적 추론.
  • 시각적 표시기: 취약점 보고서에서 거짓 양성 평가를 보여주는 배지.

감지는 각 보안 스캔 후 자동으로 실행되며 수동 트리거가 필요하지 않습니다.

결과는 AI 분석을 기반으로 하며 보안 전문가가 검토해야 합니다. 이 기능은 활성 구독이 있는 GitLab Duo가 필요합니다.

클릭형 데모는 SAST 거짓 양성 감지 플로우를 참조하십시오.

자동 감지#

거짓 양성 감지는 다음 경우에 자동으로 실행됩니다:

  • SAST 보안 스캔이 기본 브랜치에서 성공적으로 완료됨.
  • 스캔에서 치명적 또는 높은 심각도 취약점 감지됨.
  • 프로젝트에 GitLab Duo 기능이 활성화됨.

분석은 백그라운드에서 수행되며 처리가 완료되면 취약점 보고서에 결과가 나타납니다.

수동 트리거#

기존 취약점에 대한 거짓 양성 감지를 수동으로 트리거할 수 있습니다:

  1. 상단 표시줄에서 검색 또는 이동을 선택하고 프로젝트를 찾습니다.
  2. 왼쪽 사이드바에서 보안 > 취약점 보고서를 선택합니다.
  3. 분석하려는 취약점을 선택합니다.
  4. 오른쪽 상단에서 거짓 양성 확인을 선택하여 거짓 양성 감지를 트리거합니다.

GitLab Duo 분석이 실행되고 취약점 상세 페이지에 결과가 표시됩니다.

구성#

거짓 양성 감지를 사용하려면 다음이 필요합니다:

거짓 양성 감지 활성화#

거짓 양성 감지는 기본적으로 꺼져 있습니다. 이 기능을 사용하려면 그룹에서 기반 플로우를 활성화하고 프로젝트에서 기능을 켜야 합니다.

그룹에 기반 플로우 허용#

그룹의 모든 프로젝트에서 기반 플로우를 사용할 수 있도록 허용할 수 있습니다. 개별 프로젝트는 여전히 프로젝트 설정에서 기능을 활성화해야 합니다. 그룹의 모든 프로젝트에 거짓 양성 감지를 허용하려면:

  1. 왼쪽 사이드바에서 검색 또는 이동을 선택하고 그룹을 찾습니다.
  2. 설정 > GitLab Duo를 선택합니다.
  3. 기반 플로우 허용 아래에서 SAST 거짓 양성 감지 체크박스를 선택합니다.
  4. 변경 사항 저장을 선택합니다.

프로젝트에 대해 켜기#

특정 프로젝트에 대한 거짓 양성 감지를 켜려면:

  1. 왼쪽 사이드바에서 검색 또는 이동을 선택하고 프로젝트를 찾습니다.
  2. 설정 > 일반을 선택합니다.
  3. GitLab Duo를 확장합니다.
  4. SAST 거짓 양성 감지 켜기 토글을 켭니다.
  5. 변경 사항 저장을 선택합니다.

그룹에서 거짓 양성 감지를 허용하고 프로젝트에서 켜면 기존 SAST 스캐너와 자동으로 함께 작동합니다.

신뢰도 점수#

신뢰도 점수는 GitLab Duo 평가가 올바를 가능성을 추정합니다:

  • 거짓 양성 가능성 높음(80-100%): GitLab Duo가 결과가 거짓 양성임을 높은 신뢰도로 판단합니다.
  • 거짓 양성 가능성 있음(60-79%): GitLab Duo가 결과가 거짓 양성일 수 있다는 합리적인 신뢰도를 가지지만 수동 검토를 권장합니다.
  • 거짓 양성 가능성 낮음(60% 미만): GitLab Duo가 결과가 거짓 양성이라는 신뢰도가 없습니다. 취약점을 무시하기 전에 수동 검토를 강력히 권장합니다.

거짓 양성 무시#

GitLab Duo 분석에서 취약점을 거짓 양성으로 식별하면 다음 옵션이 있습니다:

  • 취약점 무시
  • 거짓 양성 플래그 제거

취약점 무시#

  1. 상단 표시줄에서 검색 또는 이동을 선택하고 프로젝트를 찾습니다.
  2. 왼쪽 사이드바에서 보안 > 취약점 보고서를 선택합니다.
  3. 무시하려는 취약점을 선택합니다.
  4. 상태 변경을 선택합니다.
  5. 상태 드롭다운 목록에서 무시됨을 선택합니다.
  6. 무시 이유 설정 드롭다운 목록에서 거짓 양성을 선택합니다.
  7. 코멘트 추가 입력란에 거짓 양성으로 무시하는 이유에 대한 컨텍스트를 제공합니다.
  8. 상태 변경을 선택합니다.

취약점이 무시됨으로 표시되고 재도입되지 않으면 향후 스캔에 나타나지 않습니다.

거짓 양성 플래그 제거#

거짓 양성 평가를 제거하고 취약점을 유지하려면:

  1. 상단 표시줄에서 검색 또는 이동을 선택하고 프로젝트를 찾습니다.
  2. 왼쪽 사이드바에서 보안 > 취약점 보고서를 선택합니다.
  3. 거짓 양성 플래그가 있는 취약점을 찾습니다.
  4. 취약점의 거짓 양성 배지 위에 마우스를 올립니다.
  5. 거짓 양성 플래그 제거를 선택합니다.

거짓 양성 플래그가 제거되고 FP 신뢰도 점수가 0으로 되돌아갑니다. 취약점은 보고서에 남아 있으며 향후 스캔에서 재평가될 수 있습니다.

피드백 제공#

이슈 583697에서 피드백을 공유하세요.

관련 주제#

SAST 거짓 양성 감지

Tier: Ultimate
Offering: GitLab.com, GitLab Self-Managed, GitLab Dedicated
원문 보기
요약

정적 애플리케이션 보안 테스트(SAST) 스캔이 실행되면 GitLab Duo가 치명적 및 높은 심각도의 각 SAST 취약점을 자동으로 분석하여 거짓 양성일 가능성을 판단합니다. GitLab Duo 평가에는 다음이 포함됩니다:

히스토리

정적 애플리케이션 보안 테스트(SAST) 스캔이 실행되면 GitLab Duo가 치명적 및 높은 심각도의 각 SAST 취약점을 자동으로 분석하여 거짓 양성일 가능성을 판단합니다. 감지는 GitLab 지원 SAST 분석기의 취약점에 대해 사용할 수 있습니다.

GitLab Duo 평가에는 다음이 포함됩니다:

  • 신뢰도 점수: 결과가 거짓 양성일 가능성을 나타내는 수치 점수.
  • 설명: 코드 컨텍스트와 취약점 특성을 기반으로 결과가 실제 양성인지 아닌지에 대한 맥락적 추론.
  • 시각적 표시기: 취약점 보고서에서 거짓 양성 평가를 보여주는 배지.

감지는 각 보안 스캔 후 자동으로 실행되며 수동 트리거가 필요하지 않습니다.

결과는 AI 분석을 기반으로 하며 보안 전문가가 검토해야 합니다. 이 기능은 활성 구독이 있는 GitLab Duo가 필요합니다.

클릭형 데모는 SAST 거짓 양성 감지 플로우를 참조하십시오.

자동 감지#

거짓 양성 감지는 다음 경우에 자동으로 실행됩니다:

  • SAST 보안 스캔이 기본 브랜치에서 성공적으로 완료됨.
  • 스캔에서 치명적 또는 높은 심각도 취약점 감지됨.
  • 프로젝트에 GitLab Duo 기능이 활성화됨.

분석은 백그라운드에서 수행되며 처리가 완료되면 취약점 보고서에 결과가 나타납니다.

수동 트리거#

기존 취약점에 대한 거짓 양성 감지를 수동으로 트리거할 수 있습니다:

  1. 상단 표시줄에서 검색 또는 이동을 선택하고 프로젝트를 찾습니다.
  2. 왼쪽 사이드바에서 보안 > 취약점 보고서를 선택합니다.
  3. 분석하려는 취약점을 선택합니다.
  4. 오른쪽 상단에서 거짓 양성 확인을 선택하여 거짓 양성 감지를 트리거합니다.

GitLab Duo 분석이 실행되고 취약점 상세 페이지에 결과가 표시됩니다.

구성#

거짓 양성 감지를 사용하려면 다음이 필요합니다:

거짓 양성 감지 활성화#

거짓 양성 감지는 기본적으로 꺼져 있습니다. 이 기능을 사용하려면 그룹에서 기반 플로우를 활성화하고 프로젝트에서 기능을 켜야 합니다.

그룹에 기반 플로우 허용#

그룹의 모든 프로젝트에서 기반 플로우를 사용할 수 있도록 허용할 수 있습니다. 개별 프로젝트는 여전히 프로젝트 설정에서 기능을 활성화해야 합니다. 그룹의 모든 프로젝트에 거짓 양성 감지를 허용하려면:

  1. 왼쪽 사이드바에서 검색 또는 이동을 선택하고 그룹을 찾습니다.
  2. 설정 > GitLab Duo를 선택합니다.
  3. 기반 플로우 허용 아래에서 SAST 거짓 양성 감지 체크박스를 선택합니다.
  4. 변경 사항 저장을 선택합니다.

프로젝트에 대해 켜기#

특정 프로젝트에 대한 거짓 양성 감지를 켜려면:

  1. 왼쪽 사이드바에서 검색 또는 이동을 선택하고 프로젝트를 찾습니다.
  2. 설정 > 일반을 선택합니다.
  3. GitLab Duo를 확장합니다.
  4. SAST 거짓 양성 감지 켜기 토글을 켭니다.
  5. 변경 사항 저장을 선택합니다.

그룹에서 거짓 양성 감지를 허용하고 프로젝트에서 켜면 기존 SAST 스캐너와 자동으로 함께 작동합니다.

신뢰도 점수#

신뢰도 점수는 GitLab Duo 평가가 올바를 가능성을 추정합니다:

  • 거짓 양성 가능성 높음(80-100%): GitLab Duo가 결과가 거짓 양성임을 높은 신뢰도로 판단합니다.
  • 거짓 양성 가능성 있음(60-79%): GitLab Duo가 결과가 거짓 양성일 수 있다는 합리적인 신뢰도를 가지지만 수동 검토를 권장합니다.
  • 거짓 양성 가능성 낮음(60% 미만): GitLab Duo가 결과가 거짓 양성이라는 신뢰도가 없습니다. 취약점을 무시하기 전에 수동 검토를 강력히 권장합니다.

거짓 양성 무시#

GitLab Duo 분석에서 취약점을 거짓 양성으로 식별하면 다음 옵션이 있습니다:

  • 취약점 무시
  • 거짓 양성 플래그 제거

취약점 무시#

  1. 상단 표시줄에서 검색 또는 이동을 선택하고 프로젝트를 찾습니다.
  2. 왼쪽 사이드바에서 보안 > 취약점 보고서를 선택합니다.
  3. 무시하려는 취약점을 선택합니다.
  4. 상태 변경을 선택합니다.
  5. 상태 드롭다운 목록에서 무시됨을 선택합니다.
  6. 무시 이유 설정 드롭다운 목록에서 거짓 양성을 선택합니다.
  7. 코멘트 추가 입력란에 거짓 양성으로 무시하는 이유에 대한 컨텍스트를 제공합니다.
  8. 상태 변경을 선택합니다.

취약점이 무시됨으로 표시되고 재도입되지 않으면 향후 스캔에 나타나지 않습니다.

거짓 양성 플래그 제거#

거짓 양성 평가를 제거하고 취약점을 유지하려면:

  1. 상단 표시줄에서 검색 또는 이동을 선택하고 프로젝트를 찾습니다.
  2. 왼쪽 사이드바에서 보안 > 취약점 보고서를 선택합니다.
  3. 거짓 양성 플래그가 있는 취약점을 찾습니다.
  4. 취약점의 거짓 양성 배지 위에 마우스를 올립니다.
  5. 거짓 양성 플래그 제거를 선택합니다.

거짓 양성 플래그가 제거되고 FP 신뢰도 점수가 0으로 되돌아갑니다. 취약점은 보고서에 남아 있으며 향후 스캔에서 재평가될 수 있습니다.

피드백 제공#

이슈 583697에서 피드백을 공유하세요.

관련 주제#