업데이트된 GitLab Security Dashboard로 취약점 수정 추적
Source: GitLab Blog
Overview
보안 팀과 개발자는 같은 좌절감을 겪습니다. 수천 개의 취약점이 주의를 요구하지만, 이를 우선순위에 따라 해결할 통찰력이 부족합니다. 위험은 어디에 집중되어 있으며, 얼마나 빠르게 해결되고 있나요? 어느 부분에서 해결 노력이 가장 큰 영향을 미칠까요? 업데이트된 GitLab Security Dashboard는 추세 추적, 취약점 연령 분포, 프로젝트별 위험 점수를 통해 이러한 질문에 답합니다.
애플리케이션 보안 팀은 취약점을 찾는 데 어려움을 겪지 않습니다; 오히려 그 취약점을 이해하는 데 어려움을 겪습니다. 대부분의 대시보드는 맥락 없는 원시 카운트만 보여주어, 팀이 가장 큰 위험에 노출되는 취약점을 파악하지 못한 채 해결 작업에 무수히 많은 시간을 소비하게 합니다.
GitLab Security Dashboard 는 프로젝트, 그룹, 비즈니스 유닛을 아우르는 하나의 뷰에 모든 취약점 데이터를 통합합니다.
18.6 버전에서 우리는 업데이트된 Security Dashboard의 첫 번째 릴리스를 도입했으며, 이를 통해 팀은 시간에 따른 취약점 변화를 확인하고 프로젝트 또는 보고 유형별로 필터링할 수 있었습니다. 18.9 릴리스의 일환으로, 고객은 이제 심각도, 상태, 스캐너 또는 프로젝트별로 데이터를 쉽게 슬라이스하고, 열린 취약점, 해결 속도, 취약점 연령 분포, 시간에 따른 위험 점수와 같은 추세를 시각화할 수 있는 새로운 필터와 차트를 활용할 수 있습니다.
위험 점수는 팀이 가장 중요한 취약점을 우선순위에 두는 데 도움을 줍니다. 위험 점수는 취약점 연령, Exploit Prediction Scoring System (EPSS), 그리고 관련 레포지토리와 보안 상태에 대한 Known Exploited Vulnerability (KEV) 점수와 같은 요소를 사용해 계산됩니다. 이러한 데이터를 통해 애플리케이션 보안 팀은 어느 영역에 더 많은 주의가 필요한지 정확히 파악할 수 있습니다.
GitLab Security Dashboard는 애플리케이션 보안 및 개발 팀이 다음을 수행하도록 돕습니다:
- 프로그램 효율성 추적: 해결 속도, 스캐너 도입률, 위험 자세를 모니터링하여 측정 가능한 개선을 보여줍니다.
- 목표 지향적인 해결에 집중: 프로덕션 시스템에 가장 큰 위험을 초래하는 취약점을 해결합니다.
- 해결 교육이 필요한 영역 식별: 회사 정책에 따라 취약점을 해결하는 데 어려움을 겪는 팀을 찾아 추가 교육에 투자합니다.
- 수동 보고 감소: 외부 대시보드와 스프레드시트가 필요 없도록 모든 것을 GitLab 내에서 직접 추적합니다.
이번 업데이트는 보안을 측정 가능하고, 맥락화하며, 일상적인 개발 워크플로에 통합하려는 GitLab의 지속적인 약속을 반영합니다. GitLab Security Dashboard는 원시 결과를 실행 가능한 인사이트로 전환하여 보안 및 개발 팀이 우선순위를 명확히 하고, 위험을 더 빠르게 감소시키며, 진행 상황을 입증할 수 있게 합니다.
See Security Dashboard in Action
경영진 브리핑을 준비하는 애플리케이션 보안 리더는 이제 투자가 위험을 감소시키고 있는지를 명확한 추세선으로 보여줄 수 있습니다: 열린 취약점 감소, 취약점 연령 감소, 한때 흔했었던 CWE 유형 감소, 그리고 건전한 위험 점수. 원시 카운트를 제시하는 대신, 백로그가 줄어들고 위험 자세가 분기별로 개선되고 있음을 입증할 수 있습니다.
동시에 개발자는 동일한 대시보드를 통해 자신의 활성 프로젝트에 있는 중요한 취약점을 확인하고, 데이터를 내보내거나 여러 도구를 전환하지 않고도 해결 작업에 집중할 수 있습니다.
GitLab Security Dashboard를 오늘 바로 시작하는 방법에 대한 자세한 내용은 documentation을 확인하세요.