InfoGrab DocsInfoGrab Docs

컴플라이언스 표준

요약

GitLab 컴플라이언스 제어를 사용하여 다양한 컴플라이언스 표준의 요구사항을 충족할 수 있습니다. Compliance Adherence Templates 프로젝트에는 JSON 템플릿 라이브러리가 포함되어 있습니다. CIS CSC는 인터넷 보안 센터(Center for Internet Security)의 주요 보안 제어 항목(Critical Security Controls)입니다.

히스토리

GitLab 컴플라이언스 제어를 사용하여 다양한 컴플라이언스 표준의 요구사항을 충족할 수 있습니다.

Compliance Adherence Templates 프로젝트에는 JSON 템플릿 라이브러리가 포함되어 있습니다. 이 템플릿을 사용하여 사전 정의된 컴플라이언스 프레임워크를 빠르게 도입할 수 있습니다.

CIS CSC 컴플라이언스 요구사항#

CIS CSC는 인터넷 보안 센터(Center for Internet Security)의 주요 보안 제어 항목(Critical Security Controls)입니다.

다음 표는 GitLab이 CIS CSC v8.1에 대해 지원하는 요구사항과 해당 제어 항목을 나열합니다. cis_csc_v8-1.json 템플릿을 사용하여 이 표준에 대한 컴플라이언스 프레임워크를 생성할 수 있습니다.

CIS CSC v8.1 요구사항 설명 지원되는 제어 항목
6.7 Centralize Access Control 지원되는 경우 디렉터리 서비스 또는 SSO 공급자를 통해 모든 엔터프라이즈 자산에 대한 액세스 제어를 중앙 집중화합니다. Auth SSO enabled
7.5 Perform Automated Vulnerability Scans of Internal Enterprise Assets 내부 엔터프라이즈 자산에 대한 자동화된 취약점 스캔을 분기별 이상으로 수행합니다. 인증 및 비인증 스캔을 모두 수행합니다. Dependency scanning runningContainer scanning runningDAST runningAPI security running
7.6 Perform Automated Vulnerability Scans of Externally-Exposed Enterprise Assets 외부에 노출된 엔터프라이즈 자산에 대한 자동화된 취약점 스캔을 수행합니다. 월별 이상으로 스캔을 수행합니다. DAST runningAPI security running
16.12 Implement Code-Level Security Checks 애플리케이션 수명 주기 내에서 정적 및 동적 분석 도구를 적용하여 보안 코딩 관행이 준수되는지 확인합니다. SAST runningDAST runningSecret detection running

CSA CCM 컴플라이언스 요구사항#

CSA CCM은 클라우드 보안 연합(Cloud Security Alliance, CSA)의 클라우드 제어 매트릭스(Cloud Controls Matrix, CCM)입니다.

다음 표는 GitLab이 CSA CCM v4에 대해 지원하는 요구사항과 해당 제어 항목을 나열합니다. csa_ccm_v4.json 템플릿을 사용하여 이 표준에 대한 컴플라이언스 프레임워크를 생성할 수 있습니다.

CSA CCM v4 요구사항 설명 지원되는 제어 항목
CCC-02 Quality Testing 설정된 기준선, 테스트 및 릴리스 표준과 함께 정의된 품질 변경 제어, 승인 및 테스트 프로세스를 따릅니다. Default branch protectedCode quality running
CCC-04 Unauthorized Change Protection 조직 자산의 무단 추가, 제거, 업데이트 및 관리를 제한합니다. Default branch protected
IAM-04 Separation of Duties 정보 시스템 액세스를 구현할 때 직무 분리 원칙을 적용합니다. At least two approvalsAuthor approved merge request is forbiddenCommitters approved merge request is forbiddenMerge requests approval rules prevent editing
IAM-15 Passwords Management 비밀번호의 안전한 관리를 위한 프로세스, 절차 및 기술적 조치를 정의, 구현 및 평가합니다. Secret detection running
TVM-05 External Library Vulnerabilities 조직의 취약성 관리 정책에 따라 서드파티 또는 오픈 소스 라이브러리를 사용하는 애플리케이션의 업데이트를 식별하기 위한 프로세스, 절차 및 기술적 조치를 정의, 구현 및 평가합니다. Container scanning running
TVM-07 Vulnerability Identification 조직이 관리하는 자산에서 최소 월별로 취약점을 탐지하기 위한 프로세스, 절차 및 기술적 조치를 정의, 구현 및 평가합니다. Dependency scanning runningContainer scanning runningSAST runningDAST runningAPI security running

Cyber Essentials 컴플라이언스 요구사항#

다음 표는 GitLab이 Cyber Essentials에 대해 지원하는 요구사항과 해당 제어 항목을 나열합니다. cyber_essentials.json 템플릿을 사용하여 이 표준에 대한 컴플라이언스 프레임워크를 생성할 수 있습니다.

Cyber Essentials 요구사항 설명 지원되는 제어 항목
A6.2 Supported software 장치의 모든 소프트웨어가 보안 문제에 대한 정기적인 수정을 제공하는 공급업체의 지원을 받고 있습니까? 조직에서 사용하는 모든 소프트웨어는 정기적인 보안 업데이트를 제공하는 공급업체의 지원을 받아야 합니다. 지원되지 않는 소프트웨어는 장치에서 제거해야 합니다. 여기에는 Java, Adobe Reader, .NET과 같은 프레임워크 및 플러그인이 포함됩니다. Dependency scanning runningContainer scanning running
A6.3 Software licensing 모든 소프트웨어가 게시자의 권장 사항에 따라 라이선스를 취득했습니까? 모든 소프트웨어는 라이선스를 받아야 합니다. 라이선스 요구사항을 준수하는 경우 무료 및 오픈 소스 소프트웨어를 사용하는 것은 허용됩니다. License compliance running

DORA 컴플라이언스 요구사항#

디지털 운영 복원력 법(Digital Operational Resilience Act, DORA)은 금융 부문의 디지털 운영 복원력 강화를 목표로 하는 유럽 연합 규정입니다.

다음 표는 GitLab이 DORA에 대해 지원하는 요구사항과 해당 제어 항목을 나열합니다. dora.json 템플릿을 사용하여 이 표준에 대한 컴플라이언스 프레임워크를 생성할 수 있습니다.

DORA 요구사항 설명 지원되는 제어 항목
Article 8 Identification 2. 금융 기관은 지속적으로 ICT 위험의 모든 원천, 특히 다른 금융 기관과의 위험 노출을 식별하고, ICT 지원 비즈니스 기능, 정보 자산 및 ICT 자산과 관련된 사이버 위협 및 ICT 취약점을 평가해야 합니다. 금융 기관은 정기적으로, 최소 연 1회, 자신에게 영향을 미치는 위험 시나리오를 검토해야 합니다. Dependency scanning runningContainer scanning runningSAST runningDAST runningAPI security running
Article 9 Protection and prevention 4. ICT 위험 관리 프레임워크의 일부로, 금융 기관은 ICT 변경 관리를 위한 문서화된 정책, 절차 및 제어를 구현해야 합니다. 이러한 변경에는 소프트웨어, 하드웨어, 펌웨어, 시스템 또는 보안 매개변수가 포함되며, 전반적인 변경 관리 프로세스의 일부로 위험 평가 접근법에 기반해야 합니다. Default branch protectedAt least two approvalsAuthor approved merge request is forbiddenCommitters approved merge request is forbiddenMerge requests approval rules prevent editing
Article 25 Testing of ICT tools and systems 1. 디지털 운영 복원력 테스트 프로그램에는 취약점 평가, 스캔, 오픈 소스 분석, 네트워크 보안 평가, 격차 분석, 소스 코드 검토, 시나리오 기반 테스트, 호환성 테스트, 성능 테스트 및 침투 테스트가 포함되어야 합니다. 중요 기능을 지원하는 애플리케이션 및 인프라 배포 전에 테스트가 필요합니다. Dependency scanning runningContainer scanning runningSAST runningDAST runningAPI security running

FedRAMP 컴플라이언스 요구사항#

FedRAMP(Federal Risk and Authorization Management Program)는 정부 운영, 자산 또는 개인에 대한 데이터 침해의 잠재적 영향을 기반으로 클라우드 서비스를 낮음(Low), 보통(Moderate), 높음(High) 세 가지 영향 수준으로 분류합니다.

이 수준들은 CSP(클라우드 서비스 제공업체)가 FedRAMP 인증을 받기 위해 충족해야 하는 서로 다른 보안 제어 및 요구사항 세트에 해당합니다. FedRAMP Low, FedRAMP Moderate, FedRAMP High 컴플라이언스에 대한 제어 항목이 제공됩니다.

FedRAMP Low 컴플라이언스 요구사항#

다음 표는 GitLab이 FedRAMP Low에 대해 지원하는 요구사항과 해당 제어 항목을 나열합니다. fedramp_low_r5.json 템플릿을 사용하여 이 표준에 대한 컴플라이언스 프레임워크를 생성할 수 있습니다.

FedRAMP Low 요구사항 설명 지원되는 제어 항목
CM-5: Access Restrictions for Change 시스템 변경과 관련된 물리적 및 논리적 액세스 제한을 정의, 문서화, 승인 및 시행합니다. Default branch protectedAt least two approvals
CM-6: Configuration Settings 시스템 구성 요소에 대한 보안 구성 설정을 수립하고 문서화합니다. 이러한 설정을 구현하고, 운영 요구사항에 따른 편차를 식별, 문서화 및 승인합니다. 조직 정책에 따라 구성 변경 사항을 모니터링하고 제어합니다. Author approved merge request is forbidden
CM-7: Least Functionality 조직에서 정의한 필수 임무 기능만 제공하도록 시스템을 구성합니다. 조직에서 정의한 금지 또는 제한된 기능, 시스템 포트, 프로토콜, 소프트웨어 및/또는 서비스의 사용을 금지하거나 제한합니다. Committers approved merge request is forbiddenMerge requests approval rules prevent editing
CM-10: Software Usage Restrictions 계약 및 저작권법에 따라 소프트웨어와 관련 문서를 사용합니다. 수량 라이선스로 보호된 소프트웨어와 관련 문서의 사용을 추적하여 복사 및 배포를 제어합니다. 저작권 작업의 무단 배포, 표시, 공연 또는 복제에 사용되지 않도록 P2P 파일 공유 기술의 사용을 제어하고 문서화합니다. License compliance running
IA-2(12): Acceptance of PIV Credentials 개인 신원 확인(PIV) 자격 증명을 수락하고 전자적으로 검증합니다. Auth SSO enabled
IA-8(1): Acceptance of PIV Credentials From Other Agencies 다른 연방 기관의 개인 신원 확인(PIV) 자격 증명을 수락하고 전자적으로 검증합니다. Auth SSO enabled
RA-5: Vulnerability Monitoring and Scanning 시스템 및 호스팅된 애플리케이션의 취약점을 스캔합니다. 취약점 스캔 도구와 기술을 활용합니다. 취약점 스캔 보고서 및 결과를 분석합니다. 합법적인 취약점을 수정합니다. 취약점 정보를 공유합니다. Dependency scanning runningContainer scanning runningDAST runningAPI security running

FedRAMP Moderate 컴플라이언스 요구사항#

다음 표는 GitLab이 FedRAMP Moderate에 대해 지원하는 요구사항과 해당 제어 항목을 나열합니다. fedramp_moderate_r5.json 템플릿을 사용하여 이 표준에 대한 컴플라이언스 프레임워크를 생성할 수 있습니다.

FedRAMP Moderate 요구사항 설명 지원되는 제어 항목
AC-5: Separation of Duties 공모 없이 악의적인 활동을 방지하기 위해 개인의 직무를 분리합니다. 직무 분리를 문서화합니다. 직무 분리를 지원하기 위한 시스템 액세스 권한을 정의합니다. At least two approvalsAuthor approved merge request is forbiddenCommitters approved merge request is forbiddenMerge requests approval rules prevent editing
CM-3: Configuration Change Control 구성 제어 변경 유형을 결정합니다. 보안/개인 정보 영향 분석과 함께 변경 사항을 검토하고 승인합니다. 결정 사항을 문서화합니다. 승인된 변경 사항을 구현합니다. 기록을 보관합니다. 변경과 관련된 활동을 모니터링합니다. 지정된 요소를 통해 변경 제어 감독을 조정합니다. Default branch protectedAt least two approvalsAuthor approved merge request is forbiddenCommitters approved merge request is forbiddenMerge requests approval rules prevent editing
CM-5: Access Restrictions for Change 시스템 변경과 관련된 물리적 및 논리적 액세스 제한을 정의, 문서화, 승인 및 시행합니다. Default branch protectedAt least two approvals
CM-6: Configuration Settings 시스템 구성 요소에 대한 보안 구성 설정을 수립하고 문서화합니다. 이러한 설정을 구현하고, 운영 요구사항에 따른 편차를 식별, 문서화 및 승인합니다. 조직 정책에 따라 구성 변경 사항을 모니터링하고 제어합니다. Author approved merge request is forbidden
CM-7: Least Functionality 조직에서 정의한 필수 임무 기능만 제공하도록 시스템을 구성합니다. 조직에서 정의한 금지 또는 제한된 기능, 시스템 포트, 프로토콜, 소프트웨어 및/또는 서비스의 사용을 금지하거나 제한합니다. Committers approved merge request is forbiddenMerge requests approval rules prevent editing
CM-10: Software Usage Restrictions 계약 및 저작권법에 따라 소프트웨어와 관련 문서를 사용합니다. 수량 라이선스로 보호된 소프트웨어와 관련 문서의 사용을 추적하여 복사 및 배포를 제어합니다. 저작권 작업의 무단 배포, 표시, 공연 또는 복제에 사용되지 않도록 P2P 파일 공유 기술의 사용을 제어하고 문서화합니다. License compliance running
IA-2(12): Acceptance of PIV Credentials 개인 신원 확인(PIV) 자격 증명을 수락하고 전자적으로 검증합니다. Auth SSO enabled
IA-5(7): No Embedded Unencrypted Static Authenticators 암호화되지 않은 정적 인증자가 애플리케이션이나 다른 형태의 정적 스토리지에 내장되지 않도록 보장합니다. Secret detection running
IA-8(1): Acceptance of PIV Credentials From Other Agencies 다른 연방 기관의 개인 신원 확인(PIV) 자격 증명을 수락하고 전자적으로 검증합니다. Auth SSO enabled
RA-5: Vulnerability Monitoring and Scanning 시스템 및 호스팅된 애플리케이션의 취약점을 스캔합니다. 취약점 스캔 도구와 기술을 활용합니다. 취약점 스캔 보고서 및 결과를 분석합니다. 합법적인 취약점을 수정합니다. 취약점 정보를 공유합니다. Dependency scanning runningContainer scanning runningDAST runningAPI security running
SA-11(1): Static Code Analysis 시스템, 시스템 구성 요소 또는 시스템 서비스 개발자에게 정적 코드 분석 도구를 사용하여 공통 취약점을 식별하고 분석 결과를 문서화하도록 요구합니다. SAST running
SA-11(8): Dynamic Code Analysis 시스템, 시스템 구성 요소 또는 시스템 서비스 개발자에게 동적 코드 분석 도구를 사용하여 공통 취약점을 식별하고 분석 결과를 문서화하도록 요구합니다. DAST running

FedRAMP High 컴플라이언스 요구사항#

다음 표는 GitLab이 FedRAMP High에 대해 지원하는 요구사항과 해당 제어 항목을 나열합니다. fedramp_high_r5.json 템플릿을 사용하여 이 표준에 대한 컴플라이언스 프레임워크를 생성할 수 있습니다.

FedRAMP High 요구사항 설명 지원되는 제어 항목
AC-5: Separation of Duties 공모 없이 악의적인 활동을 방지하기 위해 개인의 직무를 분리합니다. 직무 분리를 문서화합니다. 직무 분리를 지원하기 위한 시스템 액세스 권한을 정의합니다. At least two approvalsAuthor approved merge request is forbiddenCommitters approved merge request is forbiddenMerge requests approval rules prevent editing
CM-3: Configuration Change Control 구성 제어 변경 유형을 결정합니다. 보안/개인 정보 영향 분석과 함께 변경 사항을 검토하고 승인합니다. 결정 사항을 문서화합니다. 승인된 변경 사항을 구현합니다. 기록을 보관합니다. 변경과 관련된 활동을 모니터링합니다. 지정된 요소를 통해 변경 제어 감독을 조정합니다. Default branch protectedAt least two approvalsAuthor approved merge request is forbiddenCommitters approved merge request is forbiddenMerge requests approval rules prevent editing
CM-3(1): Automated Documentation, Notification, and Prohibition of Changes 자동화된 메커니즘을 사용하여 시스템에 대한 제안된 변경 사항을 문서화합니다. 조직에서 정의한 승인 기관에 알립니다. 조직에서 정의한 기간 내에 수신되지 않은 변경 승인을 강조 표시합니다. 지정된 승인이 수신될 때까지 시스템 변경을 금지합니다. 시스템에 대한 모든 변경 사항을 문서화합니다. At least two approvalsAuthor approved merge request is forbiddenCommitters approved merge request is forbiddenMerge requests approval rules prevent editing
CM-5: Access Restrictions for Change 시스템 변경과 관련된 물리적 및 논리적 액세스 제한을 정의, 문서화, 승인 및 시행합니다. Default branch protectedAt least two approvals
CM-6: Configuration Settings 시스템 구성 요소에 대한 보안 구성 설정을 수립하고 문서화합니다. 이러한 설정을 구현하고, 운영 요구사항에 따른 편차를 식별, 문서화 및 승인합니다. 조직 정책에 따라 구성 변경 사항을 모니터링하고 제어합니다. Author approved merge request is forbidden
CM-7: Least Functionality 조직에서 정의한 필수 임무 기능만 제공하도록 시스템을 구성합니다. 조직에서 정의한 금지 또는 제한된 기능, 시스템 포트, 프로토콜, 소프트웨어 및/또는 서비스의 사용을 금지하거나 제한합니다. Committers approved merge request is forbiddenMerge requests approval rules prevent editing
CM-10: Software Usage Restrictions 계약 및 저작권법에 따라 소프트웨어와 관련 문서를 사용합니다. 수량 라이선스로 보호된 소프트웨어와 관련 문서의 사용을 추적하여 복사 및 배포를 제어합니다. 저작권 작업의 무단 배포, 표시, 공연 또는 복제에 사용되지 않도록 P2P 파일 공유 기술의 사용을 제어하고 문서화합니다. License compliance running
IA-2(12): Acceptance of PIV Credentials 개인 신원 확인(PIV) 자격 증명을 수락하고 전자적으로 검증합니다. Auth SSO enabled
IA-5(7): No Embedded Unencrypted Static Authenticators 암호화되지 않은 정적 인증자가 애플리케이션이나 다른 형태의 정적 스토리지에 내장되지 않도록 보장합니다. Secret detection running
IA-8(1): Acceptance of PIV Credentials From Other Agencies 다른 연방 기관의 개인 신원 확인(PIV) 자격 증명을 수락하고 전자적으로 검증합니다. Auth SSO enabled
RA-5: Vulnerability Monitoring and Scanning 시스템 및 호스팅된 애플리케이션의 취약점을 스캔합니다. 취약점 스캔 도구와 기술을 활용합니다. 취약점 스캔 보고서 및 결과를 분석합니다. 합법적인 취약점을 수정합니다. 취약점 정보를 공유합니다. Dependency scanning runningContainer scanning runningDAST runningAPI security running
SA-11(1): Static Code Analysis 시스템, 시스템 구성 요소 또는 시스템 서비스 개발자에게 정적 코드 분석 도구를 사용하여 공통 취약점을 식별하고 분석 결과를 문서화하도록 요구합니다. SAST running
SA-11(8): Dynamic Code Analysis 시스템, 시스템 구성 요소 또는 시스템 서비스 개발자에게 동적 코드 분석 도구를 사용하여 공통 취약점을 식별하고 분석 결과를 문서화하도록 요구합니다. DAST running

IRAP 컴플라이언스 요구사항#

IRAP는 정보 보안 등록 평가자 프로그램(Infosec Registered Assessors Program)입니다. IRAP Official, IRAP Protected, IRAP Secret, IRAP Top Secret에 대한 제어 항목이 제공됩니다.

IRAP Official#

다음 표는 GitLab이 IRAP Official에 대해 지원하는 요구사항과 해당 제어 항목을 나열합니다. irap_official.json 템플릿을 사용하여 이 표준에 대한 컴플라이언스 프레임워크를 생성할 수 있습니다.

IRAP Official 요구사항 설명 지원되는 제어 항목
ISM-0402 Application security testing 애플리케이션은 초기 릴리스 및 이후 릴리스 전에 정적 애플리케이션 보안 테스트 및 동적 애플리케이션 보안 테스트를 사용하여 취약점에 대한 포괄적인 테스트를 수행합니다. SAST runningDAST running
ISM-1163 Continuous monitoring plan 시스템은 다음을 포함하는 지속적인 모니터링 계획을 갖습니다: 최소 2주마다 시스템에 대한 취약점 스캔 수행, 배포 전 취약점 평가 및 침투 테스트 수행(중요한 변경 사항 배포 전 포함, 이후 최소 연 1회), 식별된 취약점 분석을 통한 잠재적 영향 파악, 위험, 효과 및 비용에 기반한 완화 조치 구현. Dependency scanning runningContainer scanning runningDAST runningAPI security running
ISM-1422 Development, testing and production environments 소프트웨어의 권위 있는 소스에 대한 무단 액세스를 방지합니다. Default branch protected
ISM-1698 Scanning for unmitigated vulnerabilities 취약점 스캐너를 최소 매일 사용하여 온라인 서비스의 취약점에 대한 누락된 패치 또는 업데이트를 식별합니다. Dependency scanning runningContainer scanning running
ISM-1700 Scanning for unmitigated vulnerabilities 취약점 스캐너를 최소 2주마다 사용하여 오피스 생산성 제품군, 웹 브라우저 및 확장 프로그램, 이메일 클라이언트, PDF 소프트웨어, 보안 제품 이외의 애플리케이션의 취약점에 대한 누락된 패치 또는 업데이트를 식별합니다. Dependency scanning runningContainer scanning runningDAST runningAPI security running
ISM-1701 Scanning for unmitigated vulnerabilities 취약점 스캐너를 최소 매일 사용하여 인터넷에 연결된 서버 및 인터넷에 연결된 네트워크 장치의 운영 체제 취약점에 대한 누락된 패치 또는 업데이트를 식별합니다. Container scanning runningDAST runningAPI security running
ISM-1702 Scanning for unmitigated vulnerabilities 취약점 스캐너를 최소 2주마다 사용하여 워크스테이션, 인터넷에 연결되지 않은 서버 및 인터넷에 연결되지 않은 네트워크 장치의 운영 체제 취약점에 대한 누락된 패치 또는 업데이트를 식별합니다. Dependency scanning runningContainer scanning running
ISM-1808 Scanning for unmitigated vulnerabilities 최신 취약점 데이터베이스를 갖춘 취약점 스캐너를 취약점 스캔 활동에 사용합니다. Dependency scanning runningContainer scanning running
ISM-1816 Development, testing and production environments 소프트웨어의 권위 있는 소스에 대한 무단 수정을 방지합니다. Default branch protected
ISM-1875 Protecting credentials 네트워크를 최소 월별로 스캔하여 평문으로 저장된 자격 증명을 식별합니다. Secret detection running

IRAP Protected#

다음 표는 GitLab이 IRAP Protected에 대해 지원하는 요구사항과 해당 제어 항목을 나열합니다. irap_protected.json 템플릿을 사용하여 이 표준에 대한 컴플라이언스 프레임워크를 생성할 수 있습니다.

IRAP Protected 요구사항 설명 지원되는 제어 항목
ISM-0402 Application security testing 애플리케이션은 초기 릴리스 및 이후 릴리스 전에 정적 애플리케이션 보안 테스트 및 동적 애플리케이션 보안 테스트를 사용하여 취약점에 대한 포괄적인 테스트를 수행합니다. SAST runningDAST running
ISM-1163 Continuous monitoring plan 시스템은 다음을 포함하는 지속적인 모니터링 계획을 갖습니다: 최소 2주마다 시스템에 대한 취약점 스캔 수행, 배포 전 취약점 평가 및 침투 테스트 수행(중요한 변경 사항 배포 전 포함, 이후 최소 연 1회), 식별된 취약점 분석을 통한 잠재적 영향 파악, 위험, 효과 및 비용에 기반한 완화 조치 구현. Dependency scanning runningContainer scanning runningDAST runningAPI security running
ISM-1422 Development, testing and production environments 소프트웨어의 권위 있는 소스에 대한 무단 액세스를 방지합니다. Default branch protected
ISM-1698 Scanning for unmitigated vulnerabilities 취약점 스캐너를 최소 매일 사용하여 온라인 서비스의 취약점에 대한 누락된 패치 또는 업데이트를 식별합니다. Dependency scanning runningContainer scanning running
ISM-1700 Scanning for unmitigated vulnerabilities 취약점 스캐너를 최소 2주마다 사용하여 오피스 생산성 제품군, 웹 브라우저 및 확장 프로그램, 이메일 클라이언트, PDF 소프트웨어, 보안 제품 이외의 애플리케이션의 취약점에 대한 누락된 패치 또는 업데이트를 식별합니다. Dependency scanning runningContainer scanning runningDAST runningAPI security running
ISM-1701 Scanning for unmitigated vulnerabilities 취약점 스캐너를 최소 매일 사용하여 인터넷에 연결된 서버 및 인터넷에 연결된 네트워크 장치의 운영 체제 취약점에 대한 누락된 패치 또는 업데이트를 식별합니다. Container scanning runningDAST runningAPI security running
ISM-1702 Scanning for unmitigated vulnerabilities 취약점 스캐너를 최소 2주마다 사용하여 워크스테이션, 인터넷에 연결되지 않은 서버 및 인터넷에 연결되지 않은 네트워크 장치의 운영 체제 취약점에 대한 누락된 패치 또는 업데이트를 식별합니다. Dependency scanning runningContainer scanning running
ISM-1808 Scanning for unmitigated vulnerabilities 최신 취약점 데이터베이스를 갖춘 취약점 스캐너를 취약점 스캔 활동에 사용합니다. Dependency scanning runningContainer scanning running
ISM-1816 Development, testing and production environments 소프트웨어의 권위 있는 소스에 대한 무단 수정을 방지합니다. Default branch protected
ISM-1875 Protecting credentials 네트워크를 최소 월별로 스캔하여 평문으로 저장된 자격 증명을 식별합니다. Secret detection running

IRAP Secret#

다음 표는 GitLab이 IRAP Secret에 대해 지원하는 요구사항과 해당 제어 항목을 나열합니다. irap_secret.json 템플릿을 사용하여 이 표준에 대한 컴플라이언스 프레임워크를 생성할 수 있습니다.

IRAP Secret 요구사항 설명 지원되는 제어 항목
ISM-0402 Application security testing 애플리케이션은 초기 릴리스 및 이후 릴리스 전에 정적 애플리케이션 보안 테스트 및 동적 애플리케이션 보안 테스트를 사용하여 취약점에 대한 포괄적인 테스트를 수행합니다. SAST runningDAST running
ISM-1163 Continuous monitoring plan 시스템은 다음을 포함하는 지속적인 모니터링 계획을 갖습니다: 최소 2주마다 시스템에 대한 취약점 스캔 수행, 배포 전 취약점 평가 및 침투 테스트 수행(중요한 변경 사항 배포 전 포함, 이후 최소 연 1회), 식별된 취약점 분석을 통한 잠재적 영향 파악, 위험, 효과 및 비용에 기반한 완화 조치 구현. Dependency scanning runningContainer scanning runningDAST runningAPI security running
ISM-1422 Development, testing and production environments 소프트웨어의 권위 있는 소스에 대한 무단 액세스를 방지합니다. Default branch protected
ISM-1698 Scanning for unmitigated vulnerabilities 취약점 스캐너를 최소 매일 사용하여 온라인 서비스의 취약점에 대한 누락된 패치 또는 업데이트를 식별합니다. Dependency scanning runningContainer scanning running
ISM-1700 Scanning for unmitigated vulnerabilities 취약점 스캐너를 최소 2주마다 사용하여 오피스 생산성 제품군, 웹 브라우저 및 확장 프로그램, 이메일 클라이언트, PDF 소프트웨어, 보안 제품 이외의 애플리케이션의 취약점에 대한 누락된 패치 또는 업데이트를 식별합니다. Dependency scanning runningContainer scanning runningDAST runningAPI security running
ISM-1701 Scanning for unmitigated vulnerabilities 취약점 스캐너를 최소 매일 사용하여 인터넷에 연결된 서버 및 인터넷에 연결된 네트워크 장치의 운영 체제 취약점에 대한 누락된 패치 또는 업데이트를 식별합니다. Container scanning runningDAST runningAPI security running
ISM-1702 Scanning for unmitigated vulnerabilities 취약점 스캐너를 최소 2주마다 사용하여 워크스테이션, 인터넷에 연결되지 않은 서버 및 인터넷에 연결되지 않은 네트워크 장치의 운영 체제 취약점에 대한 누락된 패치 또는 업데이트를 식별합니다. Dependency scanning runningContainer scanning running
ISM-1808 Scanning for unmitigated vulnerabilities 최신 취약점 데이터베이스를 갖춘 취약점 스캐너를 취약점 스캔 활동에 사용합니다. Dependency scanning runningContainer scanning running
ISM-1816 Development, testing and production environments 소프트웨어의 권위 있는 소스에 대한 무단 수정을 방지합니다. Default branch protected
ISM-1875 Protecting credentials 네트워크를 최소 월별로 스캔하여 평문으로 저장된 자격 증명을 식별합니다. Secret detection running

IRAP Top Secret#

다음 표는 GitLab이 IRAP Top Secret에 대해 지원하는 요구사항과 해당 제어 항목을 나열합니다. irap_top_secret.json 템플릿을 사용하여 이 표준에 대한 컴플라이언스 프레임워크를 생성할 수 있습니다.

IRAP Top Secret 요구사항 설명 지원되는 제어 항목
ISM-0402 Application security testing 애플리케이션은 초기 릴리스 및 이후 릴리스 전에 정적 애플리케이션 보안 테스트 및 동적 애플리케이션 보안 테스트를 사용하여 취약점에 대한 포괄적인 테스트를 수행합니다. SAST runningDAST running
ISM-1163 Continuous monitoring plan 시스템은 다음을 포함하는 지속적인 모니터링 계획을 갖습니다: 최소 2주마다 시스템에 대한 취약점 스캔 수행, 배포 전 취약점 평가 및 침투 테스트 수행(중요한 변경 사항 배포 전 포함, 이후 최소 연 1회), 식별된 취약점 분석을 통한 잠재적 영향 파악, 위험, 효과 및 비용에 기반한 완화 조치 구현. Dependency scanning runningContainer scanning runningDAST runningAPI security running
ISM-1422 Development, testing and production environments 소프트웨어의 권위 있는 소스에 대한 무단 액세스를 방지합니다. Default branch protected
ISM-1698 Scanning for unmitigated vulnerabilities 취약점 스캐너를 최소 매일 사용하여 온라인 서비스의 취약점에 대한 누락된 패치 또는 업데이트를 식별합니다. Dependency scanning runningContainer scanning running
ISM-1700 Scanning for unmitigated vulnerabilities 취약점 스캐너를 최소 2주마다 사용하여 오피스 생산성 제품군, 웹 브라우저 및 확장 프로그램, 이메일 클라이언트, PDF 소프트웨어, 보안 제품 이외의 애플리케이션의 취약점에 대한 누락된 패치 또는 업데이트를 식별합니다. Dependency scanning runningContainer scanning runningDAST runningAPI security running
ISM-1701 Scanning for unmitigated vulnerabilities 취약점 스캐너를 최소 매일 사용하여 인터넷에 연결된 서버 및 인터넷에 연결된 네트워크 장치의 운영 체제 취약점에 대한 누락된 패치 또는 업데이트를 식별합니다. Container scanning runningDAST runningAPI security running
ISM-1702 Scanning for unmitigated vulnerabilities 취약점 스캐너를 최소 2주마다 사용하여 워크스테이션, 인터넷에 연결되지 않은 서버 및 인터넷에 연결되지 않은 네트워크 장치의 운영 체제 취약점에 대한 누락된 패치 또는 업데이트를 식별합니다. Dependency scanning runningContainer scanning running
ISM-1808 Scanning for unmitigated vulnerabilities 최신 취약점 데이터베이스를 갖춘 취약점 스캐너를 취약점 스캔 활동에 사용합니다. Dependency scanning runningContainer scanning running
ISM-1816 Development, testing and production environments 소프트웨어의 권위 있는 소스에 대한 무단 수정을 방지합니다. Default branch protected
ISM-1875 Protecting credentials 네트워크를 최소 월별로 스캔하여 평문으로 저장된 자격 증명을 식별합니다. Secret detection running

ISMAP 컴플라이언스 요구사항#

정보 시스템 보안 관리 및 평가 프로그램(Information system Security Management and Assessment Program, ISMAP)은 정부의 보안 요구사항을 충족하는 클라우드 서비스를 사전에 평가하고 등록함으로써 정부의 클라우드 서비스 조달의 보안 수준을 확보하여 클라우드 서비스의 원활한 도입에 기여하는 것을 목표로 합니다.

다음 표는 GitLab이 ISMAP에 대해 지원하는 요구사항과 해당 제어 항목을 나열합니다. ismap.json 템플릿을 사용하여 이 표준에 대한 컴플라이언스 프레임워크를 생성할 수 있습니다.

ISMAP 요구사항 설명 지원되는 제어 항목
6.1.2 Segregation of duties 조직 자산의 무단 또는 의도치 않은 수정이나 오용 기회를 줄이기 위해 충돌하는 직무 및 책임 영역을 분리해야 합니다. At least two approvalsAuthor approved merge request is forbiddenCommitters approved merge request is forbiddenMerge requests approval rules prevent editing
9.3.1 Use of secret authentication information 사용자는 비밀 인증 정보 사용에 있어 조직의 관행을 따르도록 요구받아야 합니다. Secret detection running
9.4.5 Access control to program source code 프로그램 소스 코드에 대한 액세스는 제한되어야 합니다. Default branch protected
12.1.2 Change management 정보 보안에 영향을 미치는 조직, 비즈니스 프로세스, 정보 처리 시설 및 시스템의 변경 사항은 제어되어야 합니다. Default branch protected
12.6.1 Management of technical vulnerabilities 사용 중인 정보 시스템의 기술적 취약점에 관한 정보를 적시에 얻어야 하고, 조직의 이러한 취약점에 대한 노출을 평가하여 관련 위험을 해결하기 위한 적절한 조치를 취해야 합니다. Dependency scanning runningContainer scanning running
14.2.1 Secure development policy 소프트웨어 및 시스템 개발을 위한 규칙을 수립하고 조직 내 개발에 적용해야 합니다. Dependency scanning runningContainer scanning runningSAST runningDAST runningAPI security runningSecret detection running
14.2.8 System security testing 개발 중에 보안 기능 테스트를 수행해야 합니다. Dependency scanning runningContainer scanning runningSAST runningDAST runningAPI security runningSecret detection running
18.1.2 Intellectual property rights 지적 재산권 및 독점 소프트웨어 제품 사용과 관련된 법적, 규제적, 계약적 요구사항 준수를 보장하기 위한 적절한 절차를 구현해야 합니다. License compliance running

ISO 27001 컴플라이언스 요구사항#

ISO 27001은 정보 보안 관리 시스템(Information Security Management System, ISMS)을 구현하고 관리하기 위한 프레임워크를 제공하는 국제적으로 인정된 표준입니다.

다음 표는 GitLab이 ISO 27001에 대해 지원하는 요구사항과 해당 제어 항목을 나열합니다. iso_27001:2022.json 템플릿을 사용하여 이 표준에 대한 컴플라이언스 프레임워크를 생성할 수 있습니다.

ISO 27001 요구사항 설명 지원되는 제어 항목
5.3 Segregation of duties 충돌하는 직무 및 충돌하는 책임 영역은 분리되어야 합니다. At least two approvalsAuthor approved merge request is forbiddenCommitters approved merge request is forbiddenMerge requests approval rules prevent editing
5.17 Authentication information 인증 정보의 할당 및 관리는 인증 정보의 적절한 처리에 관해 직원에게 조언하는 것을 포함한 관리 프로세스에 의해 제어되어야 합니다. Secret detection running
5.18 Access rights 정보 및 기타 관련 자산에 대한 액세스 권한은 액세스 제어에 관한 조직의 주제별 정책 및 규칙에 따라 프로비저닝, 검토, 수정 및 제거되어야 합니다. At least two approvalsAuthor approved merge request is forbiddenCommitters approved merge request is forbiddenMerge requests approval rules prevent editing
5.32 Intellectual property rights 조직은 지적 재산권을 보호하기 위한 적절한 절차를 구현해야 합니다. License compliance running
8.4 Access to source code 소스 코드, 개발 도구 및 소프트웨어 라이브러리에 대한 읽기 및 쓰기 액세스는 적절하게 관리되어야 합니다. Default branch protected
8.8 Management of technical vulnerabilities 사용 중인 정보 시스템의 기술적 취약점에 관한 정보를 얻어야 하고, 이러한 취약점에 대한 조직의 노출을 평가하여 적절한 조치를 취해야 합니다. Dependency scanning runningContainer scanning runningSAST runningDAST runningAPI security running
8.28 Secure coding 보안 코딩 원칙을 소프트웨어 개발에 적용해야 합니다. Dependency scanning runningContainer scanning runningSAST runningDAST runningAPI security runningSecret detection running
8.29 Security testing in development and acceptance 보안 테스트 프로세스를 개발 수명 주기에서 정의하고 구현해야 합니다. Dependency scanning runningContainer scanning runningSAST runningDAST runningAPI security runningSecret detection running
8.32 Change management 정보 처리 시설 및 정보 시스템에 대한 변경 사항은 변경 관리 절차를 따라야 합니다. Default branch protected

NIS 2 컴플라이언스 요구사항#

다음 표는 GitLab이 NIS 2에 대해 지원하는 요구사항과 해당 제어 항목을 나열합니다. nis_2.json 템플릿을 사용하여 이 표준에 대한 컴플라이언스 프레임워크를 생성할 수 있습니다.

NIS 2 요구사항 설명 지원되는 제어 항목
Article 11 Requirements, technical capabilities and tasks of CSIRTs 3. CSIRT는 다음의 업무를 수행해야 합니다: a) 국가 수준에서 사이버 위협, 취약점 및 사고를 모니터링 및 분석하고, 요청 시 관련 필수 및 중요 기관에 네트워크 및 정보 시스템의 실시간 또는 근실시간 모니터링 지원을 제공합니다. Dependency scanning runningContainer scanning running
Article 21 Cybersecurity risk-management measures 직접 공급업체 및 서비스 제공업체에 걸친 공급망 보안, 네트워크/정보 시스템 조달, 개발, 유지보수, 취약점 처리에서의 보안을 포함하여 사고로부터 시스템을 보호하기 위한 모든 위험 접근법에 기반한 사이버 보안 조치를 구현합니다. Dependency scanning runningContainer scanning runningSAST runningDAST runningAPI security running

NIST 컴플라이언스 요구사항#

미국 국립표준기술원(National Institute of Standards and Technology, NIST) 정보기술연구소(Information Technology Laboratory, ITL)는 상호운용성, 보안, 사용성 및 신뢰성에 초점을 맞춘 정보 시스템에 대한 표준, 측정 및 테스트를 제공합니다. 이 컴플라이언스 표준은 다음을 포함한 다양한 영역에서 보안 및 개인 정보 보호 제어를 구현합니다:

  • 위험 관리

  • 신원 확인 및 인증

  • 사고 대응

  • 시스템 및 통신 보호

NIST 800-53, NIST 800-171, NIST SP 800-218, NIST CSF 2.0 컴플라이언스 표준에 대한 제어 항목이 제공됩니다.

NIST 800-53 컴플라이언스 요구사항#

다음 표는 GitLab이 NIST 800-53 개정 5에 대해 지원하는 요구사항과 해당 제어 항목을 나열합니다. nist_800-53_r5 템플릿을 사용하여 이 표준에 대한 컴플라이언스 프레임워크를 생성할 수 있습니다.

NIST 800-53 요구사항 설명 지원되는 제어 항목
AC-3(2): Dual Authorization 조직에서 정의한 권한 있는 명령 및/또는 기타 조직에서 정의한 작업에 대해 이중 인가를 시행합니다. At least two approvalsAuthor approved merge request is forbiddenCommitters approved merge request is forbiddenMerge requests approval rules prevent editing
AC-5: Separation of Duties 공모 없이 악의적인 활동을 방지하기 위해 개인의 직무를 분리합니다. 직무 분리를 문서화합니다. 직무 분리를 지원하기 위한 시스템 액세스 권한을 정의합니다. At least two approvalsAuthor approved merge request is forbiddenCommitters approved merge request is forbiddenMerge requests approval rules prevent editing
AU-9(5): Dual Authorization 조직에서 정의한 감사 정보의 삭제 또는 수정에 대해 이중 인가를 시행합니다. At least two approvalsAuthor approved merge request is forbiddenCommitters approved merge request is forbiddenMerge requests approval rules prevent editing
CM-3: Configuration Change Control 구성 제어 변경 유형을 결정합니다. 보안/개인 정보 영향 분석과 함께 변경 사항을 검토하고 승인합니다. 결정 사항을 문서화합니다. 승인된 변경 사항을 구현합니다. 기록을 보관합니다. 변경과 관련된 활동을 모니터링합니다. 지정된 요소를 통해 변경 제어 감독을 조정합니다. Default branch protectedAt least two approvalsAuthor approved merge request is forbiddenCommitters approved merge request is forbiddenMerge requests approval rules prevent editing
CM-3(1): Automated Documentation, Notification, and Prohibition of Changes 자동화된 메커니즘을 사용하여 시스템에 대한 제안된 변경 사항을 문서화합니다. 조직에서 정의한 승인 기관에 알립니다. 조직에서 정의한 기간 내에 수신되지 않은 변경 승인을 강조 표시합니다. 지정된 승인이 수신될 때까지 시스템 변경을 금지합니다. 시스템에 대한 모든 변경 사항을 문서화합니다. At least two approvalsAuthor approved merge request is forbiddenCommitters approved merge request is forbiddenMerge requests approval rules prevent editing
CM-5: Access Restrictions for Change 시스템 변경과 관련된 물리적 및 논리적 액세스 제한을 정의, 문서화, 승인 및 시행합니다. Default branch protectedAt least two approvalsAuthor approved merge request is forbiddenCommitters approved merge request is forbiddenMerge requests approval rules prevent editing
CM-5(4): Dual Authorization 조직에서 정의한 시스템 구성 요소 및 시스템 수준 정보에 대한 변경 구현에 이중 인가를 시행합니다. At least two approvalsAuthor approved merge request is forbiddenCommitters approved merge request is forbiddenMerge requests approval rules prevent editing
CM-6: Configuration Settings 시스템 구성 요소에 대한 보안 구성 설정을 수립하고 문서화합니다. 이러한 설정을 구현하고, 운영 요구사항에 따른 편차를 식별, 문서화 및 승인합니다. 조직 정책에 따라 구성 변경 사항을 모니터링하고 제어합니다. Author approved merge request is forbidden
CM-7: Least Functionality 조직에서 정의한 필수 임무 기능만 제공하도록 시스템을 구성합니다. 조직에서 정의한 금지 또는 제한된 기능, 시스템 포트, 프로토콜, 소프트웨어 및/또는 서비스의 사용을 금지하거나 제한합니다. Committers approved merge request is forbiddenMerge requests approval rules prevent editing
CM-9(1): Assignment of Responsibility 시스템 개발에 직접 관여하지 않는 조직 직원에게 구성 관리 프로세스 개발 책임을 할당합니다. Default branch protected
CM-10: Software Usage Restrictions 계약 및 저작권법에 따라 소프트웨어와 관련 문서를 사용합니다. 수량 라이선스로 보호된 소프트웨어와 관련 문서의 사용을 추적하여 복사 및 배포를 제어합니다. 저작권 작업의 무단 배포, 표시, 공연 또는 복제에 사용되지 않도록 P2P 파일 공유 기술의 사용을 제어하고 문서화합니다. License compliance running
CP-9(7): Dual Authorization 조직에서 정의한 백업 정보의 삭제 또는 파기에 이중 인가를 시행합니다. At least two approvalsAuthor approved merge request is forbiddenCommitters approved merge request is forbiddenMerge requests approval rules prevent editing
IA-2(10): Single Sign-on 조직에서 정의한 시스템 계정 및 서비스에 대한 SSO(Single Sign-on) 기능을 제공합니다. Auth SSO enabled
IA-2(12): Acceptance of PIV Credentials 개인 신원 확인(PIV) 자격 증명을 수락하고 전자적으로 검증합니다. Auth SSO enabled
IA-5(7): No Embedded Unencrypted Static Authenticators 암호화되지 않은 정적 인증자가 애플리케이션이나 다른 형태의 정적 스토리지에 내장되지 않도록 보장합니다. Secret detection running
IA-5(9): Federated Credential Management 조직에서 정의한 외부 조직을 사용하여 자격 증명을 연합합니다. Auth SSO enabled
IA-8(1): Acceptance of PIV Credentials From Other Agencies 다른 연방 기관의 개인 신원 확인(PIV) 자격 증명을 수락하고 전자적으로 검증합니다. Auth SSO enabled
IA-8(5): Acceptance of PIV-I Credentials 개인 신원 확인-I(PIV-I) 자격 증명을 수락하고 검증합니다. Auth SSO enabled
RA-5: Vulnerability Monitoring and Scanning 시스템 및 호스팅된 애플리케이션의 취약점을 스캔합니다. 취약점 스캔 도구와 기술을 활용합니다. 취약점 스캔 보고서 및 결과를 분석합니다. 합법적인 취약점을 수정합니다. 취약점 정보를 공유합니다. Dependency scanning runningContainer scanning runningDAST runningAPI security running
SA-11(1): Static Code Analysis 시스템, 시스템 구성 요소 또는 시스템 서비스 개발자에게 정적 코드 분석 도구를 사용하여 공통 취약점을 식별하고 분석 결과를 문서화하도록 요구합니다. SAST running
SA-11(8): Dynamic Code Analysis 시스템, 시스템 구성 요소 또는 시스템 서비스 개발자에게 동적 코드 분석 도구를 사용하여 공통 취약점을 식별하고 분석 결과를 문서화하도록 요구합니다. DAST running

NIST 800-171 컴플라이언스 요구사항#

다음 표는 GitLab이 NIST 800-171 개정 3 CMMC에 대해 지원하는 요구사항과 해당 제어 항목을 나열합니다. nist_800-171_r3_cmmc.json 템플릿을 사용하여 이 표준에 대한 컴플라이언스 프레임워크를 생성할 수 있습니다.

NIST 800-171 요구사항 설명 지원되는 제어 항목
03.01.04 Separation of Duties a) 분리가 필요한 개인의 직무를 식별합니다. b) 직무 분리를 지원하기 위한 시스템 액세스 권한을 정의합니다. At least two approvalsAuthor approved merge request is forbiddenCommitters approved merge request is forbiddenMerge requests approval rules prevent editing
03.04.04 Impact Analyses a) 변경 구현 전에 잠재적 보안 영향을 파악하기 위해 시스템 변경 사항을 분석합니다. b) 시스템 변경 사항이 구현된 후에도 시스템의 보안 요구사항이 계속 충족되는지 확인합니다. Default branch protected
03.04.05 Access Restrictions for Change a) 시스템 변경과 관련된 물리적 및 논리적 액세스 제한을 정의, 문서화, 승인 및 시행합니다. Default branch protected
03.04.10 System Component Inventory a) 시스템 구성 요소 인벤토리를 개발하고 문서화합니다. b) 시스템 구성 요소 인벤토리를 검토하고 업데이트합니다(조직에서 정의한 빈도). c) 설치, 제거 및 시스템 업데이트의 일부로 시스템 구성 요소 인벤토리를 업데이트합니다. License compliance running
03.05.07 Password Management b) 사용자가 비밀번호를 생성하거나 업데이트할 때 비밀번호가 일반적으로 사용되거나 예측 가능하거나 침해된 비밀번호 목록에 없는지 확인합니다. c) 암호화로 보호된 채널을 통해서만 비밀번호를 전송합니다. d) 비밀번호를 암호화된 형태로 저장합니다. Secret detection running
03.11.02 Vulnerability Monitoring and Scanning a) 시스템의 취약점을 모니터링하고 스캔합니다(조직에서 정의한 빈도) 및 시스템에 영향을 미치는 새로운 취약점이 식별될 때. c) 스캔할 시스템 취약점을 업데이트합니다(조직에서 정의한 빈도) 및 새로운 취약점이 식별되고 보고될 때. Dependency scanning runningContainer scanning runningSAST runningDAST runningAPI security running

NIST CSF 2.0 컴플라이언스 요구사항#

다음 표는 GitLab이 NIST CSF에 대해 지원하는 요구사항과 해당 제어 항목을 나열합니다. nist_csf_2.json 템플릿을 사용하여 이 표준에 대한 컴플라이언스 프레임워크를 생성할 수 있습니다.

NIST CSF 2.0 요구사항 설명 지원되는 제어 항목
ID.RA-01 - Identity - Risk Assessment: The cybersecurity risk to the organization, assets, and individuals is understood by the organization. 자산의 취약점을 식별, 검증 및 기록합니다. Dependency scanning runningContainer scanning running
ID.RA-07 - Identity - Risk Assessment: The cybersecurity risk to the organization, assets, and individuals is understood by the organization. 변경 사항 및 예외는 관리되고, 위험 영향에 대해 평가되며, 기록되고 추적됩니다. Default branch protected
PR.AA-05 - Protect - Identity Management, Authentication, and Access Control - Access to physical and logical assets is limited to authorized users, services, and hardware and managed commensurate with the assessed risk of unauthorized access. 액세스 권한, 자격 부여 및 인가는 정책에 정의되고, 관리, 시행, 검토되며, 최소 권한 및 직무 분리 원칙을 통합합니다. At least two approvalsAuthor approved merge request is forbiddenCommitters approved merge request is forbiddenMerge requests approval rules prevent editing
PR.PS-06 - Protect - Platform Security - Management of hardware, software, and services aligned with risk strategy. 보안 소프트웨어 개발 관행이 통합되고 소프트웨어 개발 수명 주기 전반에 걸쳐 성능이 모니터링됩니다. Dependency scanning runningContainer scanning runningSAST runningDAST runningAPI security runningSecret detection running

NIST SP 800-218 컴플라이언스 요구사항#

다음 표는 GitLab이 NIST SP 800-218에 대해 지원하는 요구사항과 해당 제어 항목을 나열합니다. nist_800-218_v1-1.json 템플릿을 사용하여 이 표준에 대한 컴플라이언스 프레임워크를 생성할 수 있습니다.

NIST SP 800-218 요구사항 설명 지원되는 제어 항목
PO.1.1 Define Security Requirements for Software Development PO.1.1: 조직의 소프트웨어 개발 인프라 및 프로세스에 대한 모든 보안 요구사항을 식별하고 문서화하며, 요구사항을 지속적으로 유지 관리합니다. Default branch protected
PW.4 Reuse Existing, Well-Secured Software When Feasible Instead of Duplicating Functionality PW.4.1: 조직의 소프트웨어에 사용하기 위해 상업적, 오픈 소스 및 기타 서드파티 개발자로부터 잘 보호된 소프트웨어 구성 요소(예: 소프트웨어 라이브러리, 모듈, 미들웨어, 프레임워크)를 취득하고 유지 관리합니다. PW.4.4: 취득한 상업적, 오픈 소스 및 기타 모든 서드파티 소프트웨어 구성 요소가 수명 주기 전반에 걸쳐 조직에서 정의한 요구사항을 준수하는지 확인합니다. License compliance runningDependency scanning runningContainer scanning running
PW.5.1 Create Source Code by Adhering to Secure Coding Practices PW.5.1: 조직의 요구사항을 충족하기 위해 개발 언어 및 환경에 적합한 모든 보안 코딩 관행을 따릅니다. Code quality running
PW.7 Review and/or Analyze Human-Readable Code to Identify Vulnerabilities and Verify Compliance with Security Requirements PW.7.1: 조직의 필요에 따라 코드 리뷰(수동 검사) 및/또는 코드 분석(도구 기반 스캔)을 구현합니다. 보안 코딩 표준에 기반하여 검토를 수행하고 개발 워크플로 시스템에서 발견된 모든 이슈를 추적합니다. SAST runningDAST runningSecret detection running
PW.8 Test Executable Code to Identify Vulnerabilities and Verify Compliance with Security Requirements PW.8.2: 테스트 범위를 정하고, 테스트를 설계하고, 테스트를 수행하고, 결과를 문서화합니다. 발견된 모든 이슈와 권장 수정 사항을 개발 팀의 워크플로 또는 이슈 추적 시스템에 기록하고 분류합니다. DAST runningAPI security running
RV.1 Identify and Confirm Vulnerabilities on an Ongoing Basis RV.1.1: 소프트웨어 취득자, 사용자 및 공개 출처로부터 소프트웨어 및 소프트웨어가 사용하는 서드파티 구성 요소의 잠재적 취약점에 관한 정보를 수집하고, 신뢰할 수 있는 모든 보고를 조사합니다. Dependency scanning runningContainer scanning running

PCI DSS v4.0.1 컴플라이언스 요구사항#

PCI DSS는 PCI 데이터 보안 표준(PCI Data Security Standard)입니다.

다음 표는 GitLab이 PCI DSS v4.0.1에 대해 지원하는 요구사항과 해당 제어 항목을 나열합니다. pci_dss_v4-0-1.json 템플릿을 사용하여 이 표준에 대한 컴플라이언스 프레임워크를 생성할 수 있습니다.

PCI DSS v4.0.1 요구사항 설명 지원되는 제어 항목
6.2 Bespoke and custom software are developed securely. 6.2.3 릴리스 전에 맞춤형 소프트웨어를 검토하여 코딩 취약점을 식별하고 수정합니다. 코드가 보안 코딩 지침을 따르고 새로운 취약점을 해결하도록 보장합니다. 일반적인 소프트웨어 공격을 방지하는 소프트웨어 엔지니어링 기술을 구현합니다. API security runningDAST runningSAST runningSecret detection running
6.5 Changes to all system components are managed securely. 6.5.1 변경 이유 및 설명 문서화, 보안 영향 분석, 권한 있는 당사자의 승인, 보안 영향 테스트 등 수립된 절차에 따라 시스템 구성 요소에 대한 변경 사항을 구현합니다. 프로덕션 환경과 사전 프로덕션 환경을 분리합니다. 6.5.3 사전 프로덕션 환경은 프로덕션 환경과 분리되며 액세스 제어로 분리가 강화됩니다. 6.5.4 검토 및 승인된 변경 사항만 배포되도록 책임성을 제공하기 위해 프로덕션 환경과 사전 프로덕션 환경 간에 권한과 기능이 분리됩니다. Code changes require code ownersAuthor approved merge request is forbiddenCommitters approved merge request is forbiddenAt least two approvalsReset approvals on pushDefault branch protectedMerge requests approval rules prevent editing
7.2 Access to system components and data is appropriately defined and assigned. 7.2.5 모든 애플리케이션 및 시스템 계정과 관련 액세스 권한은 다음과 같이 할당되고 관리됩니다: 시스템 또는 애플리케이션 운영에 필요한 최소 권한에 기반하여, 특별히 사용을 필요로 하는 시스템, 애플리케이션 또는 프로세스로 액세스가 제한됩니다. CI/CD job token scope enabledUser-defined CI/CD variables restricted to maintainersProject visibility not publicRestricted build accessStrict Permission for Repository
7.3 Access to system components and data is managed via an access control system(s). 7.3.1 사용자의 알 필요성에 따라 액세스를 제한하고 모든 시스템 구성 요소를 포함하는 액세스 제어 시스템이 마련되어 있습니다. 7.3.2 액세스 제어 시스템은 직무 분류 및 기능에 따라 개인, 애플리케이션 및 시스템에 할당된 권한을 시행하도록 구성됩니다. CI/CD job token scope enabledUser-defined CI/CD variables restricted to maintainersProject visibility not publicRestricted build accessStrict Permission for Repository
8.3 Strong authentication for users and administrators is established and managed. 8.3.1 사용자 및 관리자가 시스템 구성 요소에 대한 모든 사용자 액세스는 다음 인증 요소 중 최소 하나를 통해 인증됩니다: 비밀번호 또는 암호와 같이 알고 있는 것; 토큰 장치 또는 스마트 카드와 같이 갖고 있는 것; 생체 인식 요소와 같이 자신의 것. Auth SSO enabledRequire MFA at organization levelRequire MFA for contributors
8.4 Multi-factor authentication (MFA) is implemented to secure access into the CDE. 8.4.1 관리 액세스 권한이 있는 직원의 CDE에 대한 모든 비콘솔 액세스에 MFA가 구현됩니다. 8.4.2 CDE에 대한 모든 비콘솔 액세스에 MFA가 구현됩니다. Auth SSO enabledRequire MFA at organization levelRequire MFA for contributors
8.6 Use of application and system accounts and associated authentication factors is strictly managed. 8.6.2 대화형 로그인에 사용할 수 있는 모든 애플리케이션 및 시스템 계정의 비밀번호/암호가 스크립트, 구성/속성 파일 또는 맞춤형 소스 코드에 하드 코딩되지 않습니다. Secret detection running
11.3 External and internal vulnerabilities are regularly identified, prioritized, and addressed. 11.3.1 인증된 스캔 방법을 사용하여 내부 취약점 스캔을 수행합니다. 높은 위험/중요 취약점을 신속하게 해결하고 위험 평가에 기반하여 다른 취약점을 관리합니다. 시스템에 중요한 변경 사항이 발생한 후 스캔을 실시합니다. 11.3.2 자격을 갖춘 직원을 통해 외부 취약점 스캔을 수행합니다. 높은 위험/중요 취약점을 신속하게 해결하고 위험 평가에 기반하여 다른 취약점을 관리합니다. 시스템에 중요한 변경 사항이 발생한 후 스캔을 실시합니다. Container scanning runningDependency scanning runningDAST runningIaC scanning running

SOC 2 컴플라이언스 요구사항#

SOC는 시스템 및 조직 제어(System and Organization Controls)입니다.

다음 표는 GitLab이 SOC 2에 대해 지원하는 요구사항과 해당 제어 항목을 나열합니다. soc2.json 템플릿을 사용하여 이 표준에 대한 컴플라이언스 프레임워크를 생성할 수 있습니다.

SOC 2 요구사항 설명 지원되는 제어 항목
CC3.2 - COSO Principle 7: The entity identifies risks to the achievement of its objectives across the entity and analyzes risks as a basis for determining how the risks should be managed. POF 7: Identifies Vulnerability of System Components — 기관은 시스템 프로세스, 인프라, 소프트웨어 및 기타 정보 자산을 포함한 시스템 구성 요소의 취약점을 식별합니다. Dependency scanning runningContainer scanning runningDAST runningAPI security running
CC3.4 - COSO Principle 9: The entity identifies and assesses changes that could significantly impact the system of internal control. POF 4: 시스템, 기술 환경 및 진화하는 위협/취약점에서 발생하는 변경 사항을 평가합니다. 내부 제어 및 보안 태세에 미치는 영향을 평가하여 결과적인 위험을 식별하고 해결합니다. Dependency scanning runningContainer scanning runningDAST runningAPI security runningDefault branch protected
CC5.1 - COSO Principle 10: The entity selects and develops control activities that contribute to the mitigation of risks to the achievement of objectives to acceptable levels. POF 6: Addresses Segregation of Duties — 경영진은 양립할 수 없는 직무를 분리하고, 그러한 분리가 실용적이지 않은 경우 경영진은 대체 제어 활동을 선택하고 개발합니다. At least two approvalsAuthor approved merge request is forbiddenCommitters approved merge request is forbiddenMerge requests approval rules prevent editing
CC6.6 - The entity implements logical access security measures to protect against threats from sources outside its system boundaries. POF 2: Protects Identification and Authentication Credentials — 시스템 경계 외부로 전송할 때 신원 확인 및 인증 자격 증명이 보호됩니다. Secret detection running
CC6.8 - The entity implements controls to prevent or detect and act upon the introduction of unauthorized or malicious software to meet the entity's objectives. POF 2: Detects Unauthorized Changes to Software and Configuration Parameters — 무단 또는 악성 소프트웨어를 나타낼 수 있는 소프트웨어 및 구성 매개변수 변경을 탐지하는 프로세스가 마련되어 있습니다. Default branch protected
CC7.1 - To meet its objectives, the entity uses detection and monitoring procedures to identify (1) changes to configurations that result in the introduction of new vulnerabilities, and (2) susceptibilities to newly discovered vulnerabilities. POF 5: Conducts Vulnerability Scans — 기관은 정기적으로, 그리고 환경에 중요한 변경 사항이 발생한 후 잠재적인 취약점 또는 잘못된 구성을 식별하도록 설계된 인프라 및 소프트웨어 취약점 스캔을 수행합니다. 기관의 목표 달성을 지원하기 위해 식별된 결함을 적시에 수정하기 위한 조치를 취합니다. Dependency scanning runningContainer scanning runningSAST runningDAST runningAPI security running
CC7.2 - System monitoring for anomalies and security event analysis. POF 1: 잠재적인 침입, 무단 액세스 및 비정상적인 시스템 활동을 식별하기 위해 인프라 및 소프트웨어에 탐지 정책, 절차 및 도구를 구현합니다. 인텔리전스 소스를 사용하여 새로운 위협 및 취약점을 식별합니다. Secret detection running
CC8.1 - The entity authorizes, designs, develops or acquires, configures, documents, tests, approves, and implements changes to infrastructure, data, software, and procedures to meet its objectives. POF 2: 설계 또는 취득 전에 시스템 변경을 승인하는 프로세스를 구현하고, 프로덕션 배포 전에 변경 사항을 테스트하고, 시스템 변경에 대한 공식 승인을 요구하며, 개발 및 변경 프로세스 중 기밀 정보를 보호합니다. SAST runningDAST runningSecret detection runningDefault branch protectedAt least two approvals

TISAX 컴플라이언스 요구사항#

TISAX는 신뢰할 수 있는 정보 보안 평가 교환(Trusted Information Security Assessment Exchange)입니다.

다음 표는 GitLab이 TISAX에 대해 지원하는 요구사항과 해당 제어 항목을 나열합니다. tisax.json 템플릿을 사용하여 이 표준에 대한 컴플라이언스 프레임워크를 생성할 수 있습니다.

TISAX 요구사항 설명 지원되는 제어 항목
1.2.2 To what extent are information security responsibilities organized? 성공적인 ISMS는 조직 내에서 명확한 책임을 필요로 합니다. 이해 충돌을 방지하기 위해(직무 분리) 적절한 조직적 책임 분리가 수립되어야 합니다. (C, I, A) At least two approvalsAuthor approved merge request is forbiddenCommitters approved merge request is forbiddenMerge requests approval rules prevent editing
1.3.4 To what extent is it ensured that only evaluated and approved software is used for processing the organization's information assets? 정보 처리는 대부분 특정 소프트웨어를 사용하여 수행됩니다. 소프트웨어의 보안 문제는 처리되는 정보의 위험이 됩니다. 따라서 소프트웨어는 적절하게 관리되어야 합니다. 소프트웨어는 설치 또는 사용 전에 승인을 받습니다. 소프트웨어 리포지터리는 무단 조작으로부터 보호됩니다. 소프트웨어 승인은 정기적으로 검토됩니다. 소프트웨어 버전 및 패치 수준이 알려져 있습니다. Dependency scanning runningContainer scanning runningLicense compliance running
5.2.1 To what extent are changes managed? 조직, 비즈니스 프로세스 및 IT 시스템의 변경 사항이 정보 보안 수준을 통제되지 않게 저하시키는 것을 방지하기 위해 모든 변경 사항에서 정보 보안 측면이 고려되도록 보장하는 것이 목표입니다(변경 관리). 조직, 비즈니스 프로세스, IT 시스템 변경에 대한 정보 보안 요구사항이 결정되고 적용됩니다. 공식적인 승인 절차가 수립됩니다. Default branch protected
5.2.5 To what extent are vulnerabilities identified and addressed? IT 시스템에 영향을 미치는 기술적 취약점에 관한 정보를 수집하고 평가합니다. 잠재적으로 영향을 받는 시스템과 소프트웨어를 식별하고 평가한 다음, 공격자의 악용을 방지하기 위해 위험 평가에 기반하여 취약점을 해결합니다. Dependency scanning runningContainer scanning running
5.3.1 To what extent is information security considered in new or further developed IT systems? IT 시스템 수명 주기 전반에 걸쳐 정보 보안을 통합합니다. 설계, 개발, 취득 및 시스템 변경 중에 보안 요구사항을 결정하고 해결합니다. 모든 IT 시스템에 대해 보안 중심 승인 테스트를 수행합니다. Dependency scanning runningContainer scanning runningSAST runningDAST runningAPI security runningSecret detection running
7.1.1 To what extent is compliance with regulatory and contractual provisions ensured? 법적, 규제적 또는 계약적 규정 미준수는 고객 및 자체 조직의 정보 보안에 위험을 초래할 수 있습니다. 따라서 이러한 규정을 인지하고 준수하도록 보장하는 것이 중요합니다. 정보 보안과 관련된 법적, 규제적, 계약적 규정(예시 참조)이 정기적인 간격으로 결정됩니다. License compliance running

컴플라이언스 표준

GitLab v19.1
Tier: Ultimate
Offering: GitLab.com, GitLab Self-Managed, GitLab Dedicated
원문 보기
요약

GitLab 컴플라이언스 제어를 사용하여 다양한 컴플라이언스 표준의 요구사항을 충족할 수 있습니다. Compliance Adherence Templates 프로젝트에는 JSON 템플릿 라이브러리가 포함되어 있습니다. CIS CSC는 인터넷 보안 센터(Center for Internet Security)의 주요 보안 제어 항목(Critical Security Controls)입니다.

히스토리

GitLab 컴플라이언스 제어를 사용하여 다양한 컴플라이언스 표준의 요구사항을 충족할 수 있습니다.

Compliance Adherence Templates 프로젝트에는 JSON 템플릿 라이브러리가 포함되어 있습니다. 이 템플릿을 사용하여 사전 정의된 컴플라이언스 프레임워크를 빠르게 도입할 수 있습니다.

CIS CSC 컴플라이언스 요구사항#

CIS CSC는 인터넷 보안 센터(Center for Internet Security)의 주요 보안 제어 항목(Critical Security Controls)입니다.

다음 표는 GitLab이 CIS CSC v8.1에 대해 지원하는 요구사항과 해당 제어 항목을 나열합니다. cis_csc_v8-1.json 템플릿을 사용하여 이 표준에 대한 컴플라이언스 프레임워크를 생성할 수 있습니다.

CIS CSC v8.1 요구사항 설명 지원되는 제어 항목
6.7 Centralize Access Control 지원되는 경우 디렉터리 서비스 또는 SSO 공급자를 통해 모든 엔터프라이즈 자산에 대한 액세스 제어를 중앙 집중화합니다. Auth SSO enabled
7.5 Perform Automated Vulnerability Scans of Internal Enterprise Assets 내부 엔터프라이즈 자산에 대한 자동화된 취약점 스캔을 분기별 이상으로 수행합니다. 인증 및 비인증 스캔을 모두 수행합니다. Dependency scanning runningContainer scanning runningDAST runningAPI security running
7.6 Perform Automated Vulnerability Scans of Externally-Exposed Enterprise Assets 외부에 노출된 엔터프라이즈 자산에 대한 자동화된 취약점 스캔을 수행합니다. 월별 이상으로 스캔을 수행합니다. DAST runningAPI security running
16.12 Implement Code-Level Security Checks 애플리케이션 수명 주기 내에서 정적 및 동적 분석 도구를 적용하여 보안 코딩 관행이 준수되는지 확인합니다. SAST runningDAST runningSecret detection running

CSA CCM 컴플라이언스 요구사항#

CSA CCM은 클라우드 보안 연합(Cloud Security Alliance, CSA)의 클라우드 제어 매트릭스(Cloud Controls Matrix, CCM)입니다.

다음 표는 GitLab이 CSA CCM v4에 대해 지원하는 요구사항과 해당 제어 항목을 나열합니다. csa_ccm_v4.json 템플릿을 사용하여 이 표준에 대한 컴플라이언스 프레임워크를 생성할 수 있습니다.

CSA CCM v4 요구사항 설명 지원되는 제어 항목
CCC-02 Quality Testing 설정된 기준선, 테스트 및 릴리스 표준과 함께 정의된 품질 변경 제어, 승인 및 테스트 프로세스를 따릅니다. Default branch protectedCode quality running
CCC-04 Unauthorized Change Protection 조직 자산의 무단 추가, 제거, 업데이트 및 관리를 제한합니다. Default branch protected
IAM-04 Separation of Duties 정보 시스템 액세스를 구현할 때 직무 분리 원칙을 적용합니다. At least two approvalsAuthor approved merge request is forbiddenCommitters approved merge request is forbiddenMerge requests approval rules prevent editing
IAM-15 Passwords Management 비밀번호의 안전한 관리를 위한 프로세스, 절차 및 기술적 조치를 정의, 구현 및 평가합니다. Secret detection running
TVM-05 External Library Vulnerabilities 조직의 취약성 관리 정책에 따라 서드파티 또는 오픈 소스 라이브러리를 사용하는 애플리케이션의 업데이트를 식별하기 위한 프로세스, 절차 및 기술적 조치를 정의, 구현 및 평가합니다. Container scanning running
TVM-07 Vulnerability Identification 조직이 관리하는 자산에서 최소 월별로 취약점을 탐지하기 위한 프로세스, 절차 및 기술적 조치를 정의, 구현 및 평가합니다. Dependency scanning runningContainer scanning runningSAST runningDAST runningAPI security running

Cyber Essentials 컴플라이언스 요구사항#

다음 표는 GitLab이 Cyber Essentials에 대해 지원하는 요구사항과 해당 제어 항목을 나열합니다. cyber_essentials.json 템플릿을 사용하여 이 표준에 대한 컴플라이언스 프레임워크를 생성할 수 있습니다.

Cyber Essentials 요구사항 설명 지원되는 제어 항목
A6.2 Supported software 장치의 모든 소프트웨어가 보안 문제에 대한 정기적인 수정을 제공하는 공급업체의 지원을 받고 있습니까? 조직에서 사용하는 모든 소프트웨어는 정기적인 보안 업데이트를 제공하는 공급업체의 지원을 받아야 합니다. 지원되지 않는 소프트웨어는 장치에서 제거해야 합니다. 여기에는 Java, Adobe Reader, .NET과 같은 프레임워크 및 플러그인이 포함됩니다. Dependency scanning runningContainer scanning running
A6.3 Software licensing 모든 소프트웨어가 게시자의 권장 사항에 따라 라이선스를 취득했습니까? 모든 소프트웨어는 라이선스를 받아야 합니다. 라이선스 요구사항을 준수하는 경우 무료 및 오픈 소스 소프트웨어를 사용하는 것은 허용됩니다. License compliance running

DORA 컴플라이언스 요구사항#

디지털 운영 복원력 법(Digital Operational Resilience Act, DORA)은 금융 부문의 디지털 운영 복원력 강화를 목표로 하는 유럽 연합 규정입니다.

다음 표는 GitLab이 DORA에 대해 지원하는 요구사항과 해당 제어 항목을 나열합니다. dora.json 템플릿을 사용하여 이 표준에 대한 컴플라이언스 프레임워크를 생성할 수 있습니다.

DORA 요구사항 설명 지원되는 제어 항목
Article 8 Identification 2. 금융 기관은 지속적으로 ICT 위험의 모든 원천, 특히 다른 금융 기관과의 위험 노출을 식별하고, ICT 지원 비즈니스 기능, 정보 자산 및 ICT 자산과 관련된 사이버 위협 및 ICT 취약점을 평가해야 합니다. 금융 기관은 정기적으로, 최소 연 1회, 자신에게 영향을 미치는 위험 시나리오를 검토해야 합니다. Dependency scanning runningContainer scanning runningSAST runningDAST runningAPI security running
Article 9 Protection and prevention 4. ICT 위험 관리 프레임워크의 일부로, 금융 기관은 ICT 변경 관리를 위한 문서화된 정책, 절차 및 제어를 구현해야 합니다. 이러한 변경에는 소프트웨어, 하드웨어, 펌웨어, 시스템 또는 보안 매개변수가 포함되며, 전반적인 변경 관리 프로세스의 일부로 위험 평가 접근법에 기반해야 합니다. Default branch protectedAt least two approvalsAuthor approved merge request is forbiddenCommitters approved merge request is forbiddenMerge requests approval rules prevent editing
Article 25 Testing of ICT tools and systems 1. 디지털 운영 복원력 테스트 프로그램에는 취약점 평가, 스캔, 오픈 소스 분석, 네트워크 보안 평가, 격차 분석, 소스 코드 검토, 시나리오 기반 테스트, 호환성 테스트, 성능 테스트 및 침투 테스트가 포함되어야 합니다. 중요 기능을 지원하는 애플리케이션 및 인프라 배포 전에 테스트가 필요합니다. Dependency scanning runningContainer scanning runningSAST runningDAST runningAPI security running

FedRAMP 컴플라이언스 요구사항#

FedRAMP(Federal Risk and Authorization Management Program)는 정부 운영, 자산 또는 개인에 대한 데이터 침해의 잠재적 영향을 기반으로 클라우드 서비스를 낮음(Low), 보통(Moderate), 높음(High) 세 가지 영향 수준으로 분류합니다.

이 수준들은 CSP(클라우드 서비스 제공업체)가 FedRAMP 인증을 받기 위해 충족해야 하는 서로 다른 보안 제어 및 요구사항 세트에 해당합니다. FedRAMP Low, FedRAMP Moderate, FedRAMP High 컴플라이언스에 대한 제어 항목이 제공됩니다.

FedRAMP Low 컴플라이언스 요구사항#

다음 표는 GitLab이 FedRAMP Low에 대해 지원하는 요구사항과 해당 제어 항목을 나열합니다. fedramp_low_r5.json 템플릿을 사용하여 이 표준에 대한 컴플라이언스 프레임워크를 생성할 수 있습니다.

FedRAMP Low 요구사항 설명 지원되는 제어 항목
CM-5: Access Restrictions for Change 시스템 변경과 관련된 물리적 및 논리적 액세스 제한을 정의, 문서화, 승인 및 시행합니다. Default branch protectedAt least two approvals
CM-6: Configuration Settings 시스템 구성 요소에 대한 보안 구성 설정을 수립하고 문서화합니다. 이러한 설정을 구현하고, 운영 요구사항에 따른 편차를 식별, 문서화 및 승인합니다. 조직 정책에 따라 구성 변경 사항을 모니터링하고 제어합니다. Author approved merge request is forbidden
CM-7: Least Functionality 조직에서 정의한 필수 임무 기능만 제공하도록 시스템을 구성합니다. 조직에서 정의한 금지 또는 제한된 기능, 시스템 포트, 프로토콜, 소프트웨어 및/또는 서비스의 사용을 금지하거나 제한합니다. Committers approved merge request is forbiddenMerge requests approval rules prevent editing
CM-10: Software Usage Restrictions 계약 및 저작권법에 따라 소프트웨어와 관련 문서를 사용합니다. 수량 라이선스로 보호된 소프트웨어와 관련 문서의 사용을 추적하여 복사 및 배포를 제어합니다. 저작권 작업의 무단 배포, 표시, 공연 또는 복제에 사용되지 않도록 P2P 파일 공유 기술의 사용을 제어하고 문서화합니다. License compliance running
IA-2(12): Acceptance of PIV Credentials 개인 신원 확인(PIV) 자격 증명을 수락하고 전자적으로 검증합니다. Auth SSO enabled
IA-8(1): Acceptance of PIV Credentials From Other Agencies 다른 연방 기관의 개인 신원 확인(PIV) 자격 증명을 수락하고 전자적으로 검증합니다. Auth SSO enabled
RA-5: Vulnerability Monitoring and Scanning 시스템 및 호스팅된 애플리케이션의 취약점을 스캔합니다. 취약점 스캔 도구와 기술을 활용합니다. 취약점 스캔 보고서 및 결과를 분석합니다. 합법적인 취약점을 수정합니다. 취약점 정보를 공유합니다. Dependency scanning runningContainer scanning runningDAST runningAPI security running

FedRAMP Moderate 컴플라이언스 요구사항#

다음 표는 GitLab이 FedRAMP Moderate에 대해 지원하는 요구사항과 해당 제어 항목을 나열합니다. fedramp_moderate_r5.json 템플릿을 사용하여 이 표준에 대한 컴플라이언스 프레임워크를 생성할 수 있습니다.

FedRAMP Moderate 요구사항 설명 지원되는 제어 항목
AC-5: Separation of Duties 공모 없이 악의적인 활동을 방지하기 위해 개인의 직무를 분리합니다. 직무 분리를 문서화합니다. 직무 분리를 지원하기 위한 시스템 액세스 권한을 정의합니다. At least two approvalsAuthor approved merge request is forbiddenCommitters approved merge request is forbiddenMerge requests approval rules prevent editing
CM-3: Configuration Change Control 구성 제어 변경 유형을 결정합니다. 보안/개인 정보 영향 분석과 함께 변경 사항을 검토하고 승인합니다. 결정 사항을 문서화합니다. 승인된 변경 사항을 구현합니다. 기록을 보관합니다. 변경과 관련된 활동을 모니터링합니다. 지정된 요소를 통해 변경 제어 감독을 조정합니다. Default branch protectedAt least two approvalsAuthor approved merge request is forbiddenCommitters approved merge request is forbiddenMerge requests approval rules prevent editing
CM-5: Access Restrictions for Change 시스템 변경과 관련된 물리적 및 논리적 액세스 제한을 정의, 문서화, 승인 및 시행합니다. Default branch protectedAt least two approvals
CM-6: Configuration Settings 시스템 구성 요소에 대한 보안 구성 설정을 수립하고 문서화합니다. 이러한 설정을 구현하고, 운영 요구사항에 따른 편차를 식별, 문서화 및 승인합니다. 조직 정책에 따라 구성 변경 사항을 모니터링하고 제어합니다. Author approved merge request is forbidden
CM-7: Least Functionality 조직에서 정의한 필수 임무 기능만 제공하도록 시스템을 구성합니다. 조직에서 정의한 금지 또는 제한된 기능, 시스템 포트, 프로토콜, 소프트웨어 및/또는 서비스의 사용을 금지하거나 제한합니다. Committers approved merge request is forbiddenMerge requests approval rules prevent editing
CM-10: Software Usage Restrictions 계약 및 저작권법에 따라 소프트웨어와 관련 문서를 사용합니다. 수량 라이선스로 보호된 소프트웨어와 관련 문서의 사용을 추적하여 복사 및 배포를 제어합니다. 저작권 작업의 무단 배포, 표시, 공연 또는 복제에 사용되지 않도록 P2P 파일 공유 기술의 사용을 제어하고 문서화합니다. License compliance running
IA-2(12): Acceptance of PIV Credentials 개인 신원 확인(PIV) 자격 증명을 수락하고 전자적으로 검증합니다. Auth SSO enabled
IA-5(7): No Embedded Unencrypted Static Authenticators 암호화되지 않은 정적 인증자가 애플리케이션이나 다른 형태의 정적 스토리지에 내장되지 않도록 보장합니다. Secret detection running
IA-8(1): Acceptance of PIV Credentials From Other Agencies 다른 연방 기관의 개인 신원 확인(PIV) 자격 증명을 수락하고 전자적으로 검증합니다. Auth SSO enabled
RA-5: Vulnerability Monitoring and Scanning 시스템 및 호스팅된 애플리케이션의 취약점을 스캔합니다. 취약점 스캔 도구와 기술을 활용합니다. 취약점 스캔 보고서 및 결과를 분석합니다. 합법적인 취약점을 수정합니다. 취약점 정보를 공유합니다. Dependency scanning runningContainer scanning runningDAST runningAPI security running
SA-11(1): Static Code Analysis 시스템, 시스템 구성 요소 또는 시스템 서비스 개발자에게 정적 코드 분석 도구를 사용하여 공통 취약점을 식별하고 분석 결과를 문서화하도록 요구합니다. SAST running
SA-11(8): Dynamic Code Analysis 시스템, 시스템 구성 요소 또는 시스템 서비스 개발자에게 동적 코드 분석 도구를 사용하여 공통 취약점을 식별하고 분석 결과를 문서화하도록 요구합니다. DAST running

FedRAMP High 컴플라이언스 요구사항#

다음 표는 GitLab이 FedRAMP High에 대해 지원하는 요구사항과 해당 제어 항목을 나열합니다. fedramp_high_r5.json 템플릿을 사용하여 이 표준에 대한 컴플라이언스 프레임워크를 생성할 수 있습니다.

FedRAMP High 요구사항 설명 지원되는 제어 항목
AC-5: Separation of Duties 공모 없이 악의적인 활동을 방지하기 위해 개인의 직무를 분리합니다. 직무 분리를 문서화합니다. 직무 분리를 지원하기 위한 시스템 액세스 권한을 정의합니다. At least two approvalsAuthor approved merge request is forbiddenCommitters approved merge request is forbiddenMerge requests approval rules prevent editing
CM-3: Configuration Change Control 구성 제어 변경 유형을 결정합니다. 보안/개인 정보 영향 분석과 함께 변경 사항을 검토하고 승인합니다. 결정 사항을 문서화합니다. 승인된 변경 사항을 구현합니다. 기록을 보관합니다. 변경과 관련된 활동을 모니터링합니다. 지정된 요소를 통해 변경 제어 감독을 조정합니다. Default branch protectedAt least two approvalsAuthor approved merge request is forbiddenCommitters approved merge request is forbiddenMerge requests approval rules prevent editing
CM-3(1): Automated Documentation, Notification, and Prohibition of Changes 자동화된 메커니즘을 사용하여 시스템에 대한 제안된 변경 사항을 문서화합니다. 조직에서 정의한 승인 기관에 알립니다. 조직에서 정의한 기간 내에 수신되지 않은 변경 승인을 강조 표시합니다. 지정된 승인이 수신될 때까지 시스템 변경을 금지합니다. 시스템에 대한 모든 변경 사항을 문서화합니다. At least two approvalsAuthor approved merge request is forbiddenCommitters approved merge request is forbiddenMerge requests approval rules prevent editing
CM-5: Access Restrictions for Change 시스템 변경과 관련된 물리적 및 논리적 액세스 제한을 정의, 문서화, 승인 및 시행합니다. Default branch protectedAt least two approvals
CM-6: Configuration Settings 시스템 구성 요소에 대한 보안 구성 설정을 수립하고 문서화합니다. 이러한 설정을 구현하고, 운영 요구사항에 따른 편차를 식별, 문서화 및 승인합니다. 조직 정책에 따라 구성 변경 사항을 모니터링하고 제어합니다. Author approved merge request is forbidden
CM-7: Least Functionality 조직에서 정의한 필수 임무 기능만 제공하도록 시스템을 구성합니다. 조직에서 정의한 금지 또는 제한된 기능, 시스템 포트, 프로토콜, 소프트웨어 및/또는 서비스의 사용을 금지하거나 제한합니다. Committers approved merge request is forbiddenMerge requests approval rules prevent editing
CM-10: Software Usage Restrictions 계약 및 저작권법에 따라 소프트웨어와 관련 문서를 사용합니다. 수량 라이선스로 보호된 소프트웨어와 관련 문서의 사용을 추적하여 복사 및 배포를 제어합니다. 저작권 작업의 무단 배포, 표시, 공연 또는 복제에 사용되지 않도록 P2P 파일 공유 기술의 사용을 제어하고 문서화합니다. License compliance running
IA-2(12): Acceptance of PIV Credentials 개인 신원 확인(PIV) 자격 증명을 수락하고 전자적으로 검증합니다. Auth SSO enabled
IA-5(7): No Embedded Unencrypted Static Authenticators 암호화되지 않은 정적 인증자가 애플리케이션이나 다른 형태의 정적 스토리지에 내장되지 않도록 보장합니다. Secret detection running
IA-8(1): Acceptance of PIV Credentials From Other Agencies 다른 연방 기관의 개인 신원 확인(PIV) 자격 증명을 수락하고 전자적으로 검증합니다. Auth SSO enabled
RA-5: Vulnerability Monitoring and Scanning 시스템 및 호스팅된 애플리케이션의 취약점을 스캔합니다. 취약점 스캔 도구와 기술을 활용합니다. 취약점 스캔 보고서 및 결과를 분석합니다. 합법적인 취약점을 수정합니다. 취약점 정보를 공유합니다. Dependency scanning runningContainer scanning runningDAST runningAPI security running
SA-11(1): Static Code Analysis 시스템, 시스템 구성 요소 또는 시스템 서비스 개발자에게 정적 코드 분석 도구를 사용하여 공통 취약점을 식별하고 분석 결과를 문서화하도록 요구합니다. SAST running
SA-11(8): Dynamic Code Analysis 시스템, 시스템 구성 요소 또는 시스템 서비스 개발자에게 동적 코드 분석 도구를 사용하여 공통 취약점을 식별하고 분석 결과를 문서화하도록 요구합니다. DAST running

IRAP 컴플라이언스 요구사항#

IRAP는 정보 보안 등록 평가자 프로그램(Infosec Registered Assessors Program)입니다. IRAP Official, IRAP Protected, IRAP Secret, IRAP Top Secret에 대한 제어 항목이 제공됩니다.

IRAP Official#

다음 표는 GitLab이 IRAP Official에 대해 지원하는 요구사항과 해당 제어 항목을 나열합니다. irap_official.json 템플릿을 사용하여 이 표준에 대한 컴플라이언스 프레임워크를 생성할 수 있습니다.

IRAP Official 요구사항 설명 지원되는 제어 항목
ISM-0402 Application security testing 애플리케이션은 초기 릴리스 및 이후 릴리스 전에 정적 애플리케이션 보안 테스트 및 동적 애플리케이션 보안 테스트를 사용하여 취약점에 대한 포괄적인 테스트를 수행합니다. SAST runningDAST running
ISM-1163 Continuous monitoring plan 시스템은 다음을 포함하는 지속적인 모니터링 계획을 갖습니다: 최소 2주마다 시스템에 대한 취약점 스캔 수행, 배포 전 취약점 평가 및 침투 테스트 수행(중요한 변경 사항 배포 전 포함, 이후 최소 연 1회), 식별된 취약점 분석을 통한 잠재적 영향 파악, 위험, 효과 및 비용에 기반한 완화 조치 구현. Dependency scanning runningContainer scanning runningDAST runningAPI security running
ISM-1422 Development, testing and production environments 소프트웨어의 권위 있는 소스에 대한 무단 액세스를 방지합니다. Default branch protected
ISM-1698 Scanning for unmitigated vulnerabilities 취약점 스캐너를 최소 매일 사용하여 온라인 서비스의 취약점에 대한 누락된 패치 또는 업데이트를 식별합니다. Dependency scanning runningContainer scanning running
ISM-1700 Scanning for unmitigated vulnerabilities 취약점 스캐너를 최소 2주마다 사용하여 오피스 생산성 제품군, 웹 브라우저 및 확장 프로그램, 이메일 클라이언트, PDF 소프트웨어, 보안 제품 이외의 애플리케이션의 취약점에 대한 누락된 패치 또는 업데이트를 식별합니다. Dependency scanning runningContainer scanning runningDAST runningAPI security running
ISM-1701 Scanning for unmitigated vulnerabilities 취약점 스캐너를 최소 매일 사용하여 인터넷에 연결된 서버 및 인터넷에 연결된 네트워크 장치의 운영 체제 취약점에 대한 누락된 패치 또는 업데이트를 식별합니다. Container scanning runningDAST runningAPI security running
ISM-1702 Scanning for unmitigated vulnerabilities 취약점 스캐너를 최소 2주마다 사용하여 워크스테이션, 인터넷에 연결되지 않은 서버 및 인터넷에 연결되지 않은 네트워크 장치의 운영 체제 취약점에 대한 누락된 패치 또는 업데이트를 식별합니다. Dependency scanning runningContainer scanning running
ISM-1808 Scanning for unmitigated vulnerabilities 최신 취약점 데이터베이스를 갖춘 취약점 스캐너를 취약점 스캔 활동에 사용합니다. Dependency scanning runningContainer scanning running
ISM-1816 Development, testing and production environments 소프트웨어의 권위 있는 소스에 대한 무단 수정을 방지합니다. Default branch protected
ISM-1875 Protecting credentials 네트워크를 최소 월별로 스캔하여 평문으로 저장된 자격 증명을 식별합니다. Secret detection running

IRAP Protected#

다음 표는 GitLab이 IRAP Protected에 대해 지원하는 요구사항과 해당 제어 항목을 나열합니다. irap_protected.json 템플릿을 사용하여 이 표준에 대한 컴플라이언스 프레임워크를 생성할 수 있습니다.

IRAP Protected 요구사항 설명 지원되는 제어 항목
ISM-0402 Application security testing 애플리케이션은 초기 릴리스 및 이후 릴리스 전에 정적 애플리케이션 보안 테스트 및 동적 애플리케이션 보안 테스트를 사용하여 취약점에 대한 포괄적인 테스트를 수행합니다. SAST runningDAST running
ISM-1163 Continuous monitoring plan 시스템은 다음을 포함하는 지속적인 모니터링 계획을 갖습니다: 최소 2주마다 시스템에 대한 취약점 스캔 수행, 배포 전 취약점 평가 및 침투 테스트 수행(중요한 변경 사항 배포 전 포함, 이후 최소 연 1회), 식별된 취약점 분석을 통한 잠재적 영향 파악, 위험, 효과 및 비용에 기반한 완화 조치 구현. Dependency scanning runningContainer scanning runningDAST runningAPI security running
ISM-1422 Development, testing and production environments 소프트웨어의 권위 있는 소스에 대한 무단 액세스를 방지합니다. Default branch protected
ISM-1698 Scanning for unmitigated vulnerabilities 취약점 스캐너를 최소 매일 사용하여 온라인 서비스의 취약점에 대한 누락된 패치 또는 업데이트를 식별합니다. Dependency scanning runningContainer scanning running
ISM-1700 Scanning for unmitigated vulnerabilities 취약점 스캐너를 최소 2주마다 사용하여 오피스 생산성 제품군, 웹 브라우저 및 확장 프로그램, 이메일 클라이언트, PDF 소프트웨어, 보안 제품 이외의 애플리케이션의 취약점에 대한 누락된 패치 또는 업데이트를 식별합니다. Dependency scanning runningContainer scanning runningDAST runningAPI security running
ISM-1701 Scanning for unmitigated vulnerabilities 취약점 스캐너를 최소 매일 사용하여 인터넷에 연결된 서버 및 인터넷에 연결된 네트워크 장치의 운영 체제 취약점에 대한 누락된 패치 또는 업데이트를 식별합니다. Container scanning runningDAST runningAPI security running
ISM-1702 Scanning for unmitigated vulnerabilities 취약점 스캐너를 최소 2주마다 사용하여 워크스테이션, 인터넷에 연결되지 않은 서버 및 인터넷에 연결되지 않은 네트워크 장치의 운영 체제 취약점에 대한 누락된 패치 또는 업데이트를 식별합니다. Dependency scanning runningContainer scanning running
ISM-1808 Scanning for unmitigated vulnerabilities 최신 취약점 데이터베이스를 갖춘 취약점 스캐너를 취약점 스캔 활동에 사용합니다. Dependency scanning runningContainer scanning running
ISM-1816 Development, testing and production environments 소프트웨어의 권위 있는 소스에 대한 무단 수정을 방지합니다. Default branch protected
ISM-1875 Protecting credentials 네트워크를 최소 월별로 스캔하여 평문으로 저장된 자격 증명을 식별합니다. Secret detection running

IRAP Secret#

다음 표는 GitLab이 IRAP Secret에 대해 지원하는 요구사항과 해당 제어 항목을 나열합니다. irap_secret.json 템플릿을 사용하여 이 표준에 대한 컴플라이언스 프레임워크를 생성할 수 있습니다.

IRAP Secret 요구사항 설명 지원되는 제어 항목
ISM-0402 Application security testing 애플리케이션은 초기 릴리스 및 이후 릴리스 전에 정적 애플리케이션 보안 테스트 및 동적 애플리케이션 보안 테스트를 사용하여 취약점에 대한 포괄적인 테스트를 수행합니다. SAST runningDAST running
ISM-1163 Continuous monitoring plan 시스템은 다음을 포함하는 지속적인 모니터링 계획을 갖습니다: 최소 2주마다 시스템에 대한 취약점 스캔 수행, 배포 전 취약점 평가 및 침투 테스트 수행(중요한 변경 사항 배포 전 포함, 이후 최소 연 1회), 식별된 취약점 분석을 통한 잠재적 영향 파악, 위험, 효과 및 비용에 기반한 완화 조치 구현. Dependency scanning runningContainer scanning runningDAST runningAPI security running
ISM-1422 Development, testing and production environments 소프트웨어의 권위 있는 소스에 대한 무단 액세스를 방지합니다. Default branch protected
ISM-1698 Scanning for unmitigated vulnerabilities 취약점 스캐너를 최소 매일 사용하여 온라인 서비스의 취약점에 대한 누락된 패치 또는 업데이트를 식별합니다. Dependency scanning runningContainer scanning running
ISM-1700 Scanning for unmitigated vulnerabilities 취약점 스캐너를 최소 2주마다 사용하여 오피스 생산성 제품군, 웹 브라우저 및 확장 프로그램, 이메일 클라이언트, PDF 소프트웨어, 보안 제품 이외의 애플리케이션의 취약점에 대한 누락된 패치 또는 업데이트를 식별합니다. Dependency scanning runningContainer scanning runningDAST runningAPI security running
ISM-1701 Scanning for unmitigated vulnerabilities 취약점 스캐너를 최소 매일 사용하여 인터넷에 연결된 서버 및 인터넷에 연결된 네트워크 장치의 운영 체제 취약점에 대한 누락된 패치 또는 업데이트를 식별합니다. Container scanning runningDAST runningAPI security running
ISM-1702 Scanning for unmitigated vulnerabilities 취약점 스캐너를 최소 2주마다 사용하여 워크스테이션, 인터넷에 연결되지 않은 서버 및 인터넷에 연결되지 않은 네트워크 장치의 운영 체제 취약점에 대한 누락된 패치 또는 업데이트를 식별합니다. Dependency scanning runningContainer scanning running
ISM-1808 Scanning for unmitigated vulnerabilities 최신 취약점 데이터베이스를 갖춘 취약점 스캐너를 취약점 스캔 활동에 사용합니다. Dependency scanning runningContainer scanning running
ISM-1816 Development, testing and production environments 소프트웨어의 권위 있는 소스에 대한 무단 수정을 방지합니다. Default branch protected
ISM-1875 Protecting credentials 네트워크를 최소 월별로 스캔하여 평문으로 저장된 자격 증명을 식별합니다. Secret detection running

IRAP Top Secret#

다음 표는 GitLab이 IRAP Top Secret에 대해 지원하는 요구사항과 해당 제어 항목을 나열합니다. irap_top_secret.json 템플릿을 사용하여 이 표준에 대한 컴플라이언스 프레임워크를 생성할 수 있습니다.

IRAP Top Secret 요구사항 설명 지원되는 제어 항목
ISM-0402 Application security testing 애플리케이션은 초기 릴리스 및 이후 릴리스 전에 정적 애플리케이션 보안 테스트 및 동적 애플리케이션 보안 테스트를 사용하여 취약점에 대한 포괄적인 테스트를 수행합니다. SAST runningDAST running
ISM-1163 Continuous monitoring plan 시스템은 다음을 포함하는 지속적인 모니터링 계획을 갖습니다: 최소 2주마다 시스템에 대한 취약점 스캔 수행, 배포 전 취약점 평가 및 침투 테스트 수행(중요한 변경 사항 배포 전 포함, 이후 최소 연 1회), 식별된 취약점 분석을 통한 잠재적 영향 파악, 위험, 효과 및 비용에 기반한 완화 조치 구현. Dependency scanning runningContainer scanning runningDAST runningAPI security running
ISM-1422 Development, testing and production environments 소프트웨어의 권위 있는 소스에 대한 무단 액세스를 방지합니다. Default branch protected
ISM-1698 Scanning for unmitigated vulnerabilities 취약점 스캐너를 최소 매일 사용하여 온라인 서비스의 취약점에 대한 누락된 패치 또는 업데이트를 식별합니다. Dependency scanning runningContainer scanning running
ISM-1700 Scanning for unmitigated vulnerabilities 취약점 스캐너를 최소 2주마다 사용하여 오피스 생산성 제품군, 웹 브라우저 및 확장 프로그램, 이메일 클라이언트, PDF 소프트웨어, 보안 제품 이외의 애플리케이션의 취약점에 대한 누락된 패치 또는 업데이트를 식별합니다. Dependency scanning runningContainer scanning runningDAST runningAPI security running
ISM-1701 Scanning for unmitigated vulnerabilities 취약점 스캐너를 최소 매일 사용하여 인터넷에 연결된 서버 및 인터넷에 연결된 네트워크 장치의 운영 체제 취약점에 대한 누락된 패치 또는 업데이트를 식별합니다. Container scanning runningDAST runningAPI security running
ISM-1702 Scanning for unmitigated vulnerabilities 취약점 스캐너를 최소 2주마다 사용하여 워크스테이션, 인터넷에 연결되지 않은 서버 및 인터넷에 연결되지 않은 네트워크 장치의 운영 체제 취약점에 대한 누락된 패치 또는 업데이트를 식별합니다. Dependency scanning runningContainer scanning running
ISM-1808 Scanning for unmitigated vulnerabilities 최신 취약점 데이터베이스를 갖춘 취약점 스캐너를 취약점 스캔 활동에 사용합니다. Dependency scanning runningContainer scanning running
ISM-1816 Development, testing and production environments 소프트웨어의 권위 있는 소스에 대한 무단 수정을 방지합니다. Default branch protected
ISM-1875 Protecting credentials 네트워크를 최소 월별로 스캔하여 평문으로 저장된 자격 증명을 식별합니다. Secret detection running

ISMAP 컴플라이언스 요구사항#

정보 시스템 보안 관리 및 평가 프로그램(Information system Security Management and Assessment Program, ISMAP)은 정부의 보안 요구사항을 충족하는 클라우드 서비스를 사전에 평가하고 등록함으로써 정부의 클라우드 서비스 조달의 보안 수준을 확보하여 클라우드 서비스의 원활한 도입에 기여하는 것을 목표로 합니다.

다음 표는 GitLab이 ISMAP에 대해 지원하는 요구사항과 해당 제어 항목을 나열합니다. ismap.json 템플릿을 사용하여 이 표준에 대한 컴플라이언스 프레임워크를 생성할 수 있습니다.

ISMAP 요구사항 설명 지원되는 제어 항목
6.1.2 Segregation of duties 조직 자산의 무단 또는 의도치 않은 수정이나 오용 기회를 줄이기 위해 충돌하는 직무 및 책임 영역을 분리해야 합니다. At least two approvalsAuthor approved merge request is forbiddenCommitters approved merge request is forbiddenMerge requests approval rules prevent editing
9.3.1 Use of secret authentication information 사용자는 비밀 인증 정보 사용에 있어 조직의 관행을 따르도록 요구받아야 합니다. Secret detection running
9.4.5 Access control to program source code 프로그램 소스 코드에 대한 액세스는 제한되어야 합니다. Default branch protected
12.1.2 Change management 정보 보안에 영향을 미치는 조직, 비즈니스 프로세스, 정보 처리 시설 및 시스템의 변경 사항은 제어되어야 합니다. Default branch protected
12.6.1 Management of technical vulnerabilities 사용 중인 정보 시스템의 기술적 취약점에 관한 정보를 적시에 얻어야 하고, 조직의 이러한 취약점에 대한 노출을 평가하여 관련 위험을 해결하기 위한 적절한 조치를 취해야 합니다. Dependency scanning runningContainer scanning running
14.2.1 Secure development policy 소프트웨어 및 시스템 개발을 위한 규칙을 수립하고 조직 내 개발에 적용해야 합니다. Dependency scanning runningContainer scanning runningSAST runningDAST runningAPI security runningSecret detection running
14.2.8 System security testing 개발 중에 보안 기능 테스트를 수행해야 합니다. Dependency scanning runningContainer scanning runningSAST runningDAST runningAPI security runningSecret detection running
18.1.2 Intellectual property rights 지적 재산권 및 독점 소프트웨어 제품 사용과 관련된 법적, 규제적, 계약적 요구사항 준수를 보장하기 위한 적절한 절차를 구현해야 합니다. License compliance running

ISO 27001 컴플라이언스 요구사항#

ISO 27001은 정보 보안 관리 시스템(Information Security Management System, ISMS)을 구현하고 관리하기 위한 프레임워크를 제공하는 국제적으로 인정된 표준입니다.

다음 표는 GitLab이 ISO 27001에 대해 지원하는 요구사항과 해당 제어 항목을 나열합니다. iso_27001:2022.json 템플릿을 사용하여 이 표준에 대한 컴플라이언스 프레임워크를 생성할 수 있습니다.

ISO 27001 요구사항 설명 지원되는 제어 항목
5.3 Segregation of duties 충돌하는 직무 및 충돌하는 책임 영역은 분리되어야 합니다. At least two approvalsAuthor approved merge request is forbiddenCommitters approved merge request is forbiddenMerge requests approval rules prevent editing
5.17 Authentication information 인증 정보의 할당 및 관리는 인증 정보의 적절한 처리에 관해 직원에게 조언하는 것을 포함한 관리 프로세스에 의해 제어되어야 합니다. Secret detection running
5.18 Access rights 정보 및 기타 관련 자산에 대한 액세스 권한은 액세스 제어에 관한 조직의 주제별 정책 및 규칙에 따라 프로비저닝, 검토, 수정 및 제거되어야 합니다. At least two approvalsAuthor approved merge request is forbiddenCommitters approved merge request is forbiddenMerge requests approval rules prevent editing
5.32 Intellectual property rights 조직은 지적 재산권을 보호하기 위한 적절한 절차를 구현해야 합니다. License compliance running
8.4 Access to source code 소스 코드, 개발 도구 및 소프트웨어 라이브러리에 대한 읽기 및 쓰기 액세스는 적절하게 관리되어야 합니다. Default branch protected
8.8 Management of technical vulnerabilities 사용 중인 정보 시스템의 기술적 취약점에 관한 정보를 얻어야 하고, 이러한 취약점에 대한 조직의 노출을 평가하여 적절한 조치를 취해야 합니다. Dependency scanning runningContainer scanning runningSAST runningDAST runningAPI security running
8.28 Secure coding 보안 코딩 원칙을 소프트웨어 개발에 적용해야 합니다. Dependency scanning runningContainer scanning runningSAST runningDAST runningAPI security runningSecret detection running
8.29 Security testing in development and acceptance 보안 테스트 프로세스를 개발 수명 주기에서 정의하고 구현해야 합니다. Dependency scanning runningContainer scanning runningSAST runningDAST runningAPI security runningSecret detection running
8.32 Change management 정보 처리 시설 및 정보 시스템에 대한 변경 사항은 변경 관리 절차를 따라야 합니다. Default branch protected

NIS 2 컴플라이언스 요구사항#

다음 표는 GitLab이 NIS 2에 대해 지원하는 요구사항과 해당 제어 항목을 나열합니다. nis_2.json 템플릿을 사용하여 이 표준에 대한 컴플라이언스 프레임워크를 생성할 수 있습니다.

NIS 2 요구사항 설명 지원되는 제어 항목
Article 11 Requirements, technical capabilities and tasks of CSIRTs 3. CSIRT는 다음의 업무를 수행해야 합니다: a) 국가 수준에서 사이버 위협, 취약점 및 사고를 모니터링 및 분석하고, 요청 시 관련 필수 및 중요 기관에 네트워크 및 정보 시스템의 실시간 또는 근실시간 모니터링 지원을 제공합니다. Dependency scanning runningContainer scanning running
Article 21 Cybersecurity risk-management measures 직접 공급업체 및 서비스 제공업체에 걸친 공급망 보안, 네트워크/정보 시스템 조달, 개발, 유지보수, 취약점 처리에서의 보안을 포함하여 사고로부터 시스템을 보호하기 위한 모든 위험 접근법에 기반한 사이버 보안 조치를 구현합니다. Dependency scanning runningContainer scanning runningSAST runningDAST runningAPI security running

NIST 컴플라이언스 요구사항#

미국 국립표준기술원(National Institute of Standards and Technology, NIST) 정보기술연구소(Information Technology Laboratory, ITL)는 상호운용성, 보안, 사용성 및 신뢰성에 초점을 맞춘 정보 시스템에 대한 표준, 측정 및 테스트를 제공합니다. 이 컴플라이언스 표준은 다음을 포함한 다양한 영역에서 보안 및 개인 정보 보호 제어를 구현합니다:

  • 위험 관리

  • 신원 확인 및 인증

  • 사고 대응

  • 시스템 및 통신 보호

NIST 800-53, NIST 800-171, NIST SP 800-218, NIST CSF 2.0 컴플라이언스 표준에 대한 제어 항목이 제공됩니다.

NIST 800-53 컴플라이언스 요구사항#

다음 표는 GitLab이 NIST 800-53 개정 5에 대해 지원하는 요구사항과 해당 제어 항목을 나열합니다. nist_800-53_r5 템플릿을 사용하여 이 표준에 대한 컴플라이언스 프레임워크를 생성할 수 있습니다.

NIST 800-53 요구사항 설명 지원되는 제어 항목
AC-3(2): Dual Authorization 조직에서 정의한 권한 있는 명령 및/또는 기타 조직에서 정의한 작업에 대해 이중 인가를 시행합니다. At least two approvalsAuthor approved merge request is forbiddenCommitters approved merge request is forbiddenMerge requests approval rules prevent editing
AC-5: Separation of Duties 공모 없이 악의적인 활동을 방지하기 위해 개인의 직무를 분리합니다. 직무 분리를 문서화합니다. 직무 분리를 지원하기 위한 시스템 액세스 권한을 정의합니다. At least two approvalsAuthor approved merge request is forbiddenCommitters approved merge request is forbiddenMerge requests approval rules prevent editing
AU-9(5): Dual Authorization 조직에서 정의한 감사 정보의 삭제 또는 수정에 대해 이중 인가를 시행합니다. At least two approvalsAuthor approved merge request is forbiddenCommitters approved merge request is forbiddenMerge requests approval rules prevent editing
CM-3: Configuration Change Control 구성 제어 변경 유형을 결정합니다. 보안/개인 정보 영향 분석과 함께 변경 사항을 검토하고 승인합니다. 결정 사항을 문서화합니다. 승인된 변경 사항을 구현합니다. 기록을 보관합니다. 변경과 관련된 활동을 모니터링합니다. 지정된 요소를 통해 변경 제어 감독을 조정합니다. Default branch protectedAt least two approvalsAuthor approved merge request is forbiddenCommitters approved merge request is forbiddenMerge requests approval rules prevent editing
CM-3(1): Automated Documentation, Notification, and Prohibition of Changes 자동화된 메커니즘을 사용하여 시스템에 대한 제안된 변경 사항을 문서화합니다. 조직에서 정의한 승인 기관에 알립니다. 조직에서 정의한 기간 내에 수신되지 않은 변경 승인을 강조 표시합니다. 지정된 승인이 수신될 때까지 시스템 변경을 금지합니다. 시스템에 대한 모든 변경 사항을 문서화합니다. At least two approvalsAuthor approved merge request is forbiddenCommitters approved merge request is forbiddenMerge requests approval rules prevent editing
CM-5: Access Restrictions for Change 시스템 변경과 관련된 물리적 및 논리적 액세스 제한을 정의, 문서화, 승인 및 시행합니다. Default branch protectedAt least two approvalsAuthor approved merge request is forbiddenCommitters approved merge request is forbiddenMerge requests approval rules prevent editing
CM-5(4): Dual Authorization 조직에서 정의한 시스템 구성 요소 및 시스템 수준 정보에 대한 변경 구현에 이중 인가를 시행합니다. At least two approvalsAuthor approved merge request is forbiddenCommitters approved merge request is forbiddenMerge requests approval rules prevent editing
CM-6: Configuration Settings 시스템 구성 요소에 대한 보안 구성 설정을 수립하고 문서화합니다. 이러한 설정을 구현하고, 운영 요구사항에 따른 편차를 식별, 문서화 및 승인합니다. 조직 정책에 따라 구성 변경 사항을 모니터링하고 제어합니다. Author approved merge request is forbidden
CM-7: Least Functionality 조직에서 정의한 필수 임무 기능만 제공하도록 시스템을 구성합니다. 조직에서 정의한 금지 또는 제한된 기능, 시스템 포트, 프로토콜, 소프트웨어 및/또는 서비스의 사용을 금지하거나 제한합니다. Committers approved merge request is forbiddenMerge requests approval rules prevent editing
CM-9(1): Assignment of Responsibility 시스템 개발에 직접 관여하지 않는 조직 직원에게 구성 관리 프로세스 개발 책임을 할당합니다. Default branch protected
CM-10: Software Usage Restrictions 계약 및 저작권법에 따라 소프트웨어와 관련 문서를 사용합니다. 수량 라이선스로 보호된 소프트웨어와 관련 문서의 사용을 추적하여 복사 및 배포를 제어합니다. 저작권 작업의 무단 배포, 표시, 공연 또는 복제에 사용되지 않도록 P2P 파일 공유 기술의 사용을 제어하고 문서화합니다. License compliance running
CP-9(7): Dual Authorization 조직에서 정의한 백업 정보의 삭제 또는 파기에 이중 인가를 시행합니다. At least two approvalsAuthor approved merge request is forbiddenCommitters approved merge request is forbiddenMerge requests approval rules prevent editing
IA-2(10): Single Sign-on 조직에서 정의한 시스템 계정 및 서비스에 대한 SSO(Single Sign-on) 기능을 제공합니다. Auth SSO enabled
IA-2(12): Acceptance of PIV Credentials 개인 신원 확인(PIV) 자격 증명을 수락하고 전자적으로 검증합니다. Auth SSO enabled
IA-5(7): No Embedded Unencrypted Static Authenticators 암호화되지 않은 정적 인증자가 애플리케이션이나 다른 형태의 정적 스토리지에 내장되지 않도록 보장합니다. Secret detection running
IA-5(9): Federated Credential Management 조직에서 정의한 외부 조직을 사용하여 자격 증명을 연합합니다. Auth SSO enabled
IA-8(1): Acceptance of PIV Credentials From Other Agencies 다른 연방 기관의 개인 신원 확인(PIV) 자격 증명을 수락하고 전자적으로 검증합니다. Auth SSO enabled
IA-8(5): Acceptance of PIV-I Credentials 개인 신원 확인-I(PIV-I) 자격 증명을 수락하고 검증합니다. Auth SSO enabled
RA-5: Vulnerability Monitoring and Scanning 시스템 및 호스팅된 애플리케이션의 취약점을 스캔합니다. 취약점 스캔 도구와 기술을 활용합니다. 취약점 스캔 보고서 및 결과를 분석합니다. 합법적인 취약점을 수정합니다. 취약점 정보를 공유합니다. Dependency scanning runningContainer scanning runningDAST runningAPI security running
SA-11(1): Static Code Analysis 시스템, 시스템 구성 요소 또는 시스템 서비스 개발자에게 정적 코드 분석 도구를 사용하여 공통 취약점을 식별하고 분석 결과를 문서화하도록 요구합니다. SAST running
SA-11(8): Dynamic Code Analysis 시스템, 시스템 구성 요소 또는 시스템 서비스 개발자에게 동적 코드 분석 도구를 사용하여 공통 취약점을 식별하고 분석 결과를 문서화하도록 요구합니다. DAST running

NIST 800-171 컴플라이언스 요구사항#

다음 표는 GitLab이 NIST 800-171 개정 3 CMMC에 대해 지원하는 요구사항과 해당 제어 항목을 나열합니다. nist_800-171_r3_cmmc.json 템플릿을 사용하여 이 표준에 대한 컴플라이언스 프레임워크를 생성할 수 있습니다.

NIST 800-171 요구사항 설명 지원되는 제어 항목
03.01.04 Separation of Duties a) 분리가 필요한 개인의 직무를 식별합니다. b) 직무 분리를 지원하기 위한 시스템 액세스 권한을 정의합니다. At least two approvalsAuthor approved merge request is forbiddenCommitters approved merge request is forbiddenMerge requests approval rules prevent editing
03.04.04 Impact Analyses a) 변경 구현 전에 잠재적 보안 영향을 파악하기 위해 시스템 변경 사항을 분석합니다. b) 시스템 변경 사항이 구현된 후에도 시스템의 보안 요구사항이 계속 충족되는지 확인합니다. Default branch protected
03.04.05 Access Restrictions for Change a) 시스템 변경과 관련된 물리적 및 논리적 액세스 제한을 정의, 문서화, 승인 및 시행합니다. Default branch protected
03.04.10 System Component Inventory a) 시스템 구성 요소 인벤토리를 개발하고 문서화합니다. b) 시스템 구성 요소 인벤토리를 검토하고 업데이트합니다(조직에서 정의한 빈도). c) 설치, 제거 및 시스템 업데이트의 일부로 시스템 구성 요소 인벤토리를 업데이트합니다. License compliance running
03.05.07 Password Management b) 사용자가 비밀번호를 생성하거나 업데이트할 때 비밀번호가 일반적으로 사용되거나 예측 가능하거나 침해된 비밀번호 목록에 없는지 확인합니다. c) 암호화로 보호된 채널을 통해서만 비밀번호를 전송합니다. d) 비밀번호를 암호화된 형태로 저장합니다. Secret detection running
03.11.02 Vulnerability Monitoring and Scanning a) 시스템의 취약점을 모니터링하고 스캔합니다(조직에서 정의한 빈도) 및 시스템에 영향을 미치는 새로운 취약점이 식별될 때. c) 스캔할 시스템 취약점을 업데이트합니다(조직에서 정의한 빈도) 및 새로운 취약점이 식별되고 보고될 때. Dependency scanning runningContainer scanning runningSAST runningDAST runningAPI security running

NIST CSF 2.0 컴플라이언스 요구사항#

다음 표는 GitLab이 NIST CSF에 대해 지원하는 요구사항과 해당 제어 항목을 나열합니다. nist_csf_2.json 템플릿을 사용하여 이 표준에 대한 컴플라이언스 프레임워크를 생성할 수 있습니다.

NIST CSF 2.0 요구사항 설명 지원되는 제어 항목
ID.RA-01 - Identity - Risk Assessment: The cybersecurity risk to the organization, assets, and individuals is understood by the organization. 자산의 취약점을 식별, 검증 및 기록합니다. Dependency scanning runningContainer scanning running
ID.RA-07 - Identity - Risk Assessment: The cybersecurity risk to the organization, assets, and individuals is understood by the organization. 변경 사항 및 예외는 관리되고, 위험 영향에 대해 평가되며, 기록되고 추적됩니다. Default branch protected
PR.AA-05 - Protect - Identity Management, Authentication, and Access Control - Access to physical and logical assets is limited to authorized users, services, and hardware and managed commensurate with the assessed risk of unauthorized access. 액세스 권한, 자격 부여 및 인가는 정책에 정의되고, 관리, 시행, 검토되며, 최소 권한 및 직무 분리 원칙을 통합합니다. At least two approvalsAuthor approved merge request is forbiddenCommitters approved merge request is forbiddenMerge requests approval rules prevent editing
PR.PS-06 - Protect - Platform Security - Management of hardware, software, and services aligned with risk strategy. 보안 소프트웨어 개발 관행이 통합되고 소프트웨어 개발 수명 주기 전반에 걸쳐 성능이 모니터링됩니다. Dependency scanning runningContainer scanning runningSAST runningDAST runningAPI security runningSecret detection running

NIST SP 800-218 컴플라이언스 요구사항#

다음 표는 GitLab이 NIST SP 800-218에 대해 지원하는 요구사항과 해당 제어 항목을 나열합니다. nist_800-218_v1-1.json 템플릿을 사용하여 이 표준에 대한 컴플라이언스 프레임워크를 생성할 수 있습니다.

NIST SP 800-218 요구사항 설명 지원되는 제어 항목
PO.1.1 Define Security Requirements for Software Development PO.1.1: 조직의 소프트웨어 개발 인프라 및 프로세스에 대한 모든 보안 요구사항을 식별하고 문서화하며, 요구사항을 지속적으로 유지 관리합니다. Default branch protected
PW.4 Reuse Existing, Well-Secured Software When Feasible Instead of Duplicating Functionality PW.4.1: 조직의 소프트웨어에 사용하기 위해 상업적, 오픈 소스 및 기타 서드파티 개발자로부터 잘 보호된 소프트웨어 구성 요소(예: 소프트웨어 라이브러리, 모듈, 미들웨어, 프레임워크)를 취득하고 유지 관리합니다. PW.4.4: 취득한 상업적, 오픈 소스 및 기타 모든 서드파티 소프트웨어 구성 요소가 수명 주기 전반에 걸쳐 조직에서 정의한 요구사항을 준수하는지 확인합니다. License compliance runningDependency scanning runningContainer scanning running
PW.5.1 Create Source Code by Adhering to Secure Coding Practices PW.5.1: 조직의 요구사항을 충족하기 위해 개발 언어 및 환경에 적합한 모든 보안 코딩 관행을 따릅니다. Code quality running
PW.7 Review and/or Analyze Human-Readable Code to Identify Vulnerabilities and Verify Compliance with Security Requirements PW.7.1: 조직의 필요에 따라 코드 리뷰(수동 검사) 및/또는 코드 분석(도구 기반 스캔)을 구현합니다. 보안 코딩 표준에 기반하여 검토를 수행하고 개발 워크플로 시스템에서 발견된 모든 이슈를 추적합니다. SAST runningDAST runningSecret detection running
PW.8 Test Executable Code to Identify Vulnerabilities and Verify Compliance with Security Requirements PW.8.2: 테스트 범위를 정하고, 테스트를 설계하고, 테스트를 수행하고, 결과를 문서화합니다. 발견된 모든 이슈와 권장 수정 사항을 개발 팀의 워크플로 또는 이슈 추적 시스템에 기록하고 분류합니다. DAST runningAPI security running
RV.1 Identify and Confirm Vulnerabilities on an Ongoing Basis RV.1.1: 소프트웨어 취득자, 사용자 및 공개 출처로부터 소프트웨어 및 소프트웨어가 사용하는 서드파티 구성 요소의 잠재적 취약점에 관한 정보를 수집하고, 신뢰할 수 있는 모든 보고를 조사합니다. Dependency scanning runningContainer scanning running

PCI DSS v4.0.1 컴플라이언스 요구사항#

PCI DSS는 PCI 데이터 보안 표준(PCI Data Security Standard)입니다.

다음 표는 GitLab이 PCI DSS v4.0.1에 대해 지원하는 요구사항과 해당 제어 항목을 나열합니다. pci_dss_v4-0-1.json 템플릿을 사용하여 이 표준에 대한 컴플라이언스 프레임워크를 생성할 수 있습니다.

PCI DSS v4.0.1 요구사항 설명 지원되는 제어 항목
6.2 Bespoke and custom software are developed securely. 6.2.3 릴리스 전에 맞춤형 소프트웨어를 검토하여 코딩 취약점을 식별하고 수정합니다. 코드가 보안 코딩 지침을 따르고 새로운 취약점을 해결하도록 보장합니다. 일반적인 소프트웨어 공격을 방지하는 소프트웨어 엔지니어링 기술을 구현합니다. API security runningDAST runningSAST runningSecret detection running
6.5 Changes to all system components are managed securely. 6.5.1 변경 이유 및 설명 문서화, 보안 영향 분석, 권한 있는 당사자의 승인, 보안 영향 테스트 등 수립된 절차에 따라 시스템 구성 요소에 대한 변경 사항을 구현합니다. 프로덕션 환경과 사전 프로덕션 환경을 분리합니다. 6.5.3 사전 프로덕션 환경은 프로덕션 환경과 분리되며 액세스 제어로 분리가 강화됩니다. 6.5.4 검토 및 승인된 변경 사항만 배포되도록 책임성을 제공하기 위해 프로덕션 환경과 사전 프로덕션 환경 간에 권한과 기능이 분리됩니다. Code changes require code ownersAuthor approved merge request is forbiddenCommitters approved merge request is forbiddenAt least two approvalsReset approvals on pushDefault branch protectedMerge requests approval rules prevent editing
7.2 Access to system components and data is appropriately defined and assigned. 7.2.5 모든 애플리케이션 및 시스템 계정과 관련 액세스 권한은 다음과 같이 할당되고 관리됩니다: 시스템 또는 애플리케이션 운영에 필요한 최소 권한에 기반하여, 특별히 사용을 필요로 하는 시스템, 애플리케이션 또는 프로세스로 액세스가 제한됩니다. CI/CD job token scope enabledUser-defined CI/CD variables restricted to maintainersProject visibility not publicRestricted build accessStrict Permission for Repository
7.3 Access to system components and data is managed via an access control system(s). 7.3.1 사용자의 알 필요성에 따라 액세스를 제한하고 모든 시스템 구성 요소를 포함하는 액세스 제어 시스템이 마련되어 있습니다. 7.3.2 액세스 제어 시스템은 직무 분류 및 기능에 따라 개인, 애플리케이션 및 시스템에 할당된 권한을 시행하도록 구성됩니다. CI/CD job token scope enabledUser-defined CI/CD variables restricted to maintainersProject visibility not publicRestricted build accessStrict Permission for Repository
8.3 Strong authentication for users and administrators is established and managed. 8.3.1 사용자 및 관리자가 시스템 구성 요소에 대한 모든 사용자 액세스는 다음 인증 요소 중 최소 하나를 통해 인증됩니다: 비밀번호 또는 암호와 같이 알고 있는 것; 토큰 장치 또는 스마트 카드와 같이 갖고 있는 것; 생체 인식 요소와 같이 자신의 것. Auth SSO enabledRequire MFA at organization levelRequire MFA for contributors
8.4 Multi-factor authentication (MFA) is implemented to secure access into the CDE. 8.4.1 관리 액세스 권한이 있는 직원의 CDE에 대한 모든 비콘솔 액세스에 MFA가 구현됩니다. 8.4.2 CDE에 대한 모든 비콘솔 액세스에 MFA가 구현됩니다. Auth SSO enabledRequire MFA at organization levelRequire MFA for contributors
8.6 Use of application and system accounts and associated authentication factors is strictly managed. 8.6.2 대화형 로그인에 사용할 수 있는 모든 애플리케이션 및 시스템 계정의 비밀번호/암호가 스크립트, 구성/속성 파일 또는 맞춤형 소스 코드에 하드 코딩되지 않습니다. Secret detection running
11.3 External and internal vulnerabilities are regularly identified, prioritized, and addressed. 11.3.1 인증된 스캔 방법을 사용하여 내부 취약점 스캔을 수행합니다. 높은 위험/중요 취약점을 신속하게 해결하고 위험 평가에 기반하여 다른 취약점을 관리합니다. 시스템에 중요한 변경 사항이 발생한 후 스캔을 실시합니다. 11.3.2 자격을 갖춘 직원을 통해 외부 취약점 스캔을 수행합니다. 높은 위험/중요 취약점을 신속하게 해결하고 위험 평가에 기반하여 다른 취약점을 관리합니다. 시스템에 중요한 변경 사항이 발생한 후 스캔을 실시합니다. Container scanning runningDependency scanning runningDAST runningIaC scanning running

SOC 2 컴플라이언스 요구사항#

SOC는 시스템 및 조직 제어(System and Organization Controls)입니다.

다음 표는 GitLab이 SOC 2에 대해 지원하는 요구사항과 해당 제어 항목을 나열합니다. soc2.json 템플릿을 사용하여 이 표준에 대한 컴플라이언스 프레임워크를 생성할 수 있습니다.

SOC 2 요구사항 설명 지원되는 제어 항목
CC3.2 - COSO Principle 7: The entity identifies risks to the achievement of its objectives across the entity and analyzes risks as a basis for determining how the risks should be managed. POF 7: Identifies Vulnerability of System Components — 기관은 시스템 프로세스, 인프라, 소프트웨어 및 기타 정보 자산을 포함한 시스템 구성 요소의 취약점을 식별합니다. Dependency scanning runningContainer scanning runningDAST runningAPI security running
CC3.4 - COSO Principle 9: The entity identifies and assesses changes that could significantly impact the system of internal control. POF 4: 시스템, 기술 환경 및 진화하는 위협/취약점에서 발생하는 변경 사항을 평가합니다. 내부 제어 및 보안 태세에 미치는 영향을 평가하여 결과적인 위험을 식별하고 해결합니다. Dependency scanning runningContainer scanning runningDAST runningAPI security runningDefault branch protected
CC5.1 - COSO Principle 10: The entity selects and develops control activities that contribute to the mitigation of risks to the achievement of objectives to acceptable levels. POF 6: Addresses Segregation of Duties — 경영진은 양립할 수 없는 직무를 분리하고, 그러한 분리가 실용적이지 않은 경우 경영진은 대체 제어 활동을 선택하고 개발합니다. At least two approvalsAuthor approved merge request is forbiddenCommitters approved merge request is forbiddenMerge requests approval rules prevent editing
CC6.6 - The entity implements logical access security measures to protect against threats from sources outside its system boundaries. POF 2: Protects Identification and Authentication Credentials — 시스템 경계 외부로 전송할 때 신원 확인 및 인증 자격 증명이 보호됩니다. Secret detection running
CC6.8 - The entity implements controls to prevent or detect and act upon the introduction of unauthorized or malicious software to meet the entity's objectives. POF 2: Detects Unauthorized Changes to Software and Configuration Parameters — 무단 또는 악성 소프트웨어를 나타낼 수 있는 소프트웨어 및 구성 매개변수 변경을 탐지하는 프로세스가 마련되어 있습니다. Default branch protected
CC7.1 - To meet its objectives, the entity uses detection and monitoring procedures to identify (1) changes to configurations that result in the introduction of new vulnerabilities, and (2) susceptibilities to newly discovered vulnerabilities. POF 5: Conducts Vulnerability Scans — 기관은 정기적으로, 그리고 환경에 중요한 변경 사항이 발생한 후 잠재적인 취약점 또는 잘못된 구성을 식별하도록 설계된 인프라 및 소프트웨어 취약점 스캔을 수행합니다. 기관의 목표 달성을 지원하기 위해 식별된 결함을 적시에 수정하기 위한 조치를 취합니다. Dependency scanning runningContainer scanning runningSAST runningDAST runningAPI security running
CC7.2 - System monitoring for anomalies and security event analysis. POF 1: 잠재적인 침입, 무단 액세스 및 비정상적인 시스템 활동을 식별하기 위해 인프라 및 소프트웨어에 탐지 정책, 절차 및 도구를 구현합니다. 인텔리전스 소스를 사용하여 새로운 위협 및 취약점을 식별합니다. Secret detection running
CC8.1 - The entity authorizes, designs, develops or acquires, configures, documents, tests, approves, and implements changes to infrastructure, data, software, and procedures to meet its objectives. POF 2: 설계 또는 취득 전에 시스템 변경을 승인하는 프로세스를 구현하고, 프로덕션 배포 전에 변경 사항을 테스트하고, 시스템 변경에 대한 공식 승인을 요구하며, 개발 및 변경 프로세스 중 기밀 정보를 보호합니다. SAST runningDAST runningSecret detection runningDefault branch protectedAt least two approvals

TISAX 컴플라이언스 요구사항#

TISAX는 신뢰할 수 있는 정보 보안 평가 교환(Trusted Information Security Assessment Exchange)입니다.

다음 표는 GitLab이 TISAX에 대해 지원하는 요구사항과 해당 제어 항목을 나열합니다. tisax.json 템플릿을 사용하여 이 표준에 대한 컴플라이언스 프레임워크를 생성할 수 있습니다.

TISAX 요구사항 설명 지원되는 제어 항목
1.2.2 To what extent are information security responsibilities organized? 성공적인 ISMS는 조직 내에서 명확한 책임을 필요로 합니다. 이해 충돌을 방지하기 위해(직무 분리) 적절한 조직적 책임 분리가 수립되어야 합니다. (C, I, A) At least two approvalsAuthor approved merge request is forbiddenCommitters approved merge request is forbiddenMerge requests approval rules prevent editing
1.3.4 To what extent is it ensured that only evaluated and approved software is used for processing the organization's information assets? 정보 처리는 대부분 특정 소프트웨어를 사용하여 수행됩니다. 소프트웨어의 보안 문제는 처리되는 정보의 위험이 됩니다. 따라서 소프트웨어는 적절하게 관리되어야 합니다. 소프트웨어는 설치 또는 사용 전에 승인을 받습니다. 소프트웨어 리포지터리는 무단 조작으로부터 보호됩니다. 소프트웨어 승인은 정기적으로 검토됩니다. 소프트웨어 버전 및 패치 수준이 알려져 있습니다. Dependency scanning runningContainer scanning runningLicense compliance running
5.2.1 To what extent are changes managed? 조직, 비즈니스 프로세스 및 IT 시스템의 변경 사항이 정보 보안 수준을 통제되지 않게 저하시키는 것을 방지하기 위해 모든 변경 사항에서 정보 보안 측면이 고려되도록 보장하는 것이 목표입니다(변경 관리). 조직, 비즈니스 프로세스, IT 시스템 변경에 대한 정보 보안 요구사항이 결정되고 적용됩니다. 공식적인 승인 절차가 수립됩니다. Default branch protected
5.2.5 To what extent are vulnerabilities identified and addressed? IT 시스템에 영향을 미치는 기술적 취약점에 관한 정보를 수집하고 평가합니다. 잠재적으로 영향을 받는 시스템과 소프트웨어를 식별하고 평가한 다음, 공격자의 악용을 방지하기 위해 위험 평가에 기반하여 취약점을 해결합니다. Dependency scanning runningContainer scanning running
5.3.1 To what extent is information security considered in new or further developed IT systems? IT 시스템 수명 주기 전반에 걸쳐 정보 보안을 통합합니다. 설계, 개발, 취득 및 시스템 변경 중에 보안 요구사항을 결정하고 해결합니다. 모든 IT 시스템에 대해 보안 중심 승인 테스트를 수행합니다. Dependency scanning runningContainer scanning runningSAST runningDAST runningAPI security runningSecret detection running
7.1.1 To what extent is compliance with regulatory and contractual provisions ensured? 법적, 규제적 또는 계약적 규정 미준수는 고객 및 자체 조직의 정보 보안에 위험을 초래할 수 있습니다. 따라서 이러한 규정을 인지하고 준수하도록 보장하는 것이 중요합니다. 정보 보안과 관련된 법적, 규제적, 계약적 규정(예시 참조)이 정기적인 간격으로 결정됩니다. License compliance running