시크릿 오탐 감지
Tier: Ultimate
Offering: GitLab.com, GitLab Self-Managed, GitLab Dedicated
Offering: GitLab.com, GitLab Self-Managed, GitLab Dedicated
요약
시크릿 오탐 감지는 시크릿 감지 결과를 자동으로 분석하여 잠재적인 오탐을 식별합니다. 시크릿 감지 스캔이 실행되면 GitLab Duo는 각 결과를 자동으로 분석하여 오탐일 가능성을 결정합니다. GitLab Duo 평가에는 각 오탐 감지 결과에 대한 정보가 포함됩니다:
히스토리
- GitLab 18.10에서
duo_secret_detection_false_positive라는 기능 플래그와 함께 베타 기능으로 에픽 17885에서 도입. GitLab.com, GitLab Self-Managed 및 GitLab Dedicated에서 활성화됨.
시크릿 오탐 감지는 시크릿 감지 결과를 자동으로 분석하여 잠재적인 오탐을 식별합니다. 실제 보안 위험이 아닐 가능성이 높은 시크릿을 해제하면 취약점 보고서의 노이즈가 줄어듭니다.
시크릿 감지 스캔이 실행되면 GitLab Duo는 각 결과를 자동으로 분석하여 오탐일 가능성을 결정합니다. 감지는 GitLab 시크릿 감지가 감지한 모든 시크릿 유형에 사용할 수 있습니다.
GitLab Duo 평가에는 각 오탐 감지 결과에 대한 정보가 포함됩니다:
- 신뢰도 점수: 결과가 오탐일 가능성을 나타내는 수치 점수.
- 설명: 결과가 실제 양성이거나 그렇지 않을 이유.
- 시각적 표시자: 평가 결과를 표시하는 취약점 보고서의 배지.
결과는 AI 분석을 기반으로 하며 보안 전문가가 검토해야 합니다. 이 기능은 활성 구독이 있는 GitLab Duo가 필요합니다.
Note
이 플로우는 서비스 계정을 멘션하거나 할당하거나 검토를 요청하여 트리거할 수 없습니다. 플로우는 보안 스캔이 완료된 후 자동으로 실행됩니다. 취약점 보고서에서 Check for false positive 버튼을 클릭하여 수동으로 실행할 수 있습니다.
시크릿 오탐 감지 실행#
다음 시나리오에서 플로우가 자동으로 실행됩니다:
- 기본 브랜치에서 시크릿 감지 스캔이 성공적으로 완료됩니다.
- 스캔에서 시크릿이 감지됩니다.
- 프로젝트 또는 그룹에 대해 GitLab Duo 기능이 활성화되어 있습니다.
기존 취약점에 대한 분석을 수동으로 트리거할 수도 있습니다:
- 상단 바에서 Search or go to를 선택하고 프로젝트를 찾습니다.
- 왼쪽 사이드바에서 Secure > Vulnerability report를 선택합니다.
- 분석할 취약점을 선택합니다.
- 오른쪽 상단에서 Check for false positive를 선택합니다.