GitLab Ultimate 소개

GitLab Ultimate는 우선순위, 보안, 위험, 컴플라이언스를 관리하면서 배포를 최적화하고 가속하려는 조직에 이상적입니다.

SaaS와 자체 관리형 배포 옵션으로 이용할 수 있는 GitLab Ultimate는 고급 보안 기능, 보안 위험 완화, 컴플라이언스, 포트폴리오 관리, 밸류 스트림 관리를 추가했습니다. 아울러 GitLab Ultimate는 무료 Guest 사용자 라이선스를 고려해 시스템과의 상호 작용을 최소화하면서 사용자의 라이선스 사용을 개선합니다. 또한 GitLab Ultimate는 적격 고객을 위한 우선 지원, 실시간 업그레이드 지원, 고객 성공 매니저(Customer Success Manager)를 포함합니다.

GitLab Ultimate를 사용하면 다음 효과를 거둘 수 있습니다.

운영 능률 향상

GitLab Ultimate는 조직 전반의 DevSecOps를 위한 확장 가능한 단일 인터페이스를 제공해 툴과 팀 간의 핸드오프를 줄여 효율성을 개선합니다.

더 좋은 제품을 더 빠르게

GitLab Ultimate는 엔드 투 엔드 밸류 스트림 관리(Value Stream Management)와 포트폴리오 관리(Portfolio Management)를 사용해 프로젝트 전반의 가시성과 투명성을 높여 병목 현상을 없애고 제품을 더 빠르게 제공하도록 지원합니다.

보안과 컴플라이언스 위험 감소

GitLab Ultimate는 클라우드 네이티브 애플리케이션을 위한 기본 제공 보안 테스트, 컴플라이언스, 예방 보안을 도입해 보안 위험을 관리하고 컴플라이언스를 달성하도록 지원합니다.

Ultimate 등급의 세부 기능

고급 보안 테스트

Configuration UI
이제 클릭 두 번으로 SAST를 간단하게 활성화할 수 있습니다. 이 안내식 Configuration UX를 사용하면 CI 전문가가 아닌 사용자도 GitLab SAST를 더 쉽게 시작할 수 있습니다. 이 도구는 사용자가 Merge Request를 생성해 SAST 스캐닝을 활성화하며, GitLab이 관리하는 SAST.gitlab-ci.yml 템플릿을 사용하고 템플릿 설정을 적절하게 재정의하는 등 모범 Configuration 사례를 활용하도록 지원합니다.

보안 스캐닝 IDE 통합
개발자는 VS Code에서 직접 보안 검사 결과를 확인하고, 수정할 수 있습니다. 브랜치의 Merge Request가 열리면, VS Code용 GitLab Workflow extension이 기본 브랜치에서 이전에 발견되지 않은 새로운 보안 검사 결과를 표시합니다.

SAST를 위한 Custom Ruleset
GitLab SAST를 사용하면 취약점 탐지 기본값을 변경해 조직의 기본 설정에 맞게 결과를 조정할 수 있습니다. SAST custom ruleset을 사용하면 규칙을 제외하고, 기존 규칙의 동작을 수정할 수 있습니다.

GitLab Advisory Database
누구나 보고 개선할 수 있는 취약점 데이터베이스입니다.

의존성 스캐닝
포함된 라이브러리에서 잘 알려진 보안 버그를 자동 탐지해 동적 의존성에 영향을 미치는 취약점에서 애플리케이션을 보호하세요.

동적 애플리케이션 보안 테스트
CI/CD 파이프라인에서 실행 중인 테스트 애플리케이션을 동적으로 조사해 취약한 인증, 크로스 사이트 스크립팅 또는 SQL 인젝션과 같은 웹 애플리케이션 취약점에 노출되지 않도록 확인하세요.

취약점 관리
보안팀뿐만 아니라 전체 팀이 모든 GitLab Security 스캐너의 검사 결과를 위한 ‘통합된 인터페이스’를 사용해 보안 검사 결과에 따라 조치를 취하도록 해주세요.

취약점 보고서
취약점 보고서는 애플리케이션에서 탐지된 취약점을 보고, 분류하며, 추적하고, 해결하는 효율적인 방법을 팀에 제공합니다. 이로써 조직의 위험을 완전히 파악하도록 지원합니다. 이 보고서는 그룹, 프로젝트, Security Center에서 이용할 수 있습니다.

보안 대시보드
조직 전체의 보안 위험 추세를 파악하고 추적하여 최우선 수정사항에 대한 가시성을 확보하세요.

취약점에서 Jira 이슈 만들기
보안 테스트에는 GitLab을 사용하고, 애자일 플래닝에는 Jira를 사용해 팀 간에 효율적으로 협업하세요. 취약점 기록에서 직접 선택한 Jira 이슈 유형을 만드세요.

프로젝트 의존성 목록
의존성 목록(Bill of Materials 또는 BOM이라고 함)에 액세스해 프로젝트에 포함된 컴포넌트를 확인하세요. 이는 보안·컴플라이언스 팀이 종종 요청합니다.

Coverage-guided Fuzz Testing
기존 QA 프로세스가 놓치는 앱의 보안 취약점과 버그를 찾으세요.

API Fuzz Testing
앱의 API를 테스트해 기존 QA 프로세스가 놓치는 취약점과 버그를 찾으세요.

온디맨드 DAST
코드 변경 또는 Merge Request와 관계없이, 실행 중인 애플리케이션의 취약점을 확인하세요.

DAST Configuration UI
이제 클릭 세 번으로 DAST를 간단하게 활성화할 수 있습니다. 이 안내식 Configuration UX를 사용하면 CI 전문가가 아닌 사용자도 GitLab DAST를 더 쉽게 시작할 수 있습니다. 이 도구는 사용자가 Merge Request를 생성해 DAST 스캐닝을 활성화하고, GitLab이 관리하는 DAST.gitlab-ci.yml 템플릿 사용과 같은 모범 configuration 사례를 활용하도록 지원합니다.

보안 위험 완화

통합 보안 교육
우리 콘텐츠 파트너의 보안 교육을 활성화해 취약점 관리 환경에 포함된 수업을 확인하세요. 교육 링크는 Merge Request 보안 검사 결과, 파이프라인 보안 탭, 취약점 상세 페이지에 제공됩니다. 우리는 보안 이슈 유형과 프로젝트 언어를 사용해 가장 관련성이 높고, 목표가 설정된 학습 경험에 가장 적합한 교육을 제공합니다.

보안 정책
보안 팀이 GitLab 프로젝트와 Kubernetes 클러스터의 보안 정책을 관리하고 시행하도록 합니다.

보안 승인
개발자가 새로운 취약점을 일으키는 코드를 merge 하도록 허용하기 전에 보안 팀의 승인을 받도록 하세요.

컴플라이언스

요구사항 관리
비즈니스, 시스템 요구사항 승인을 수집하고, 문서화하며, 개선하고, 추적하세요. 요구 사항과 다른 요구 사항, 코드 또는 테스트 케이스 간 추적성을 정의하세요.

품질 관리
테스트 케이스를 정의하고, 계획하며, 테스트 실행 결과를 유지 관리하고, 실패한 테스트에서 작업 백로그를 생성하세요.

컴플라이언스 파이프라인 configuration
지정된 컴플라이언스 프레임워크를 지키는 모든 프로젝트에 실행되는 공통 파이프라인 정의를 사용해 프로젝트가 규정 요구사항을 충족하는 데 필요한 단계를 수행하도록 보장하세요.

Chain of Custody 보고서
그룹 내 모든 merge 커밋의 .csv 보고서를 만드세요.

자격 증명 인벤토리
액세스와 인증에 사용할 수 있는 모든 개인 액세스 토큰, SSH 키, GPG 키를 추적하세요. 이들이 만료되는 시기를 확인하고 교체 정책을 관리하세요.

컴플라이언스 보고서
그룹에서 모든 프로젝트 Merge Request의 집계된 목록을 확인하세요. 컴플라이언스에서 벗어나는 Merge Request를 쉽게 확인하고 조치를 취하거나, 그룹 프로젝트의 Chain of Custody 보고서를 생성하고 내보낼 수 있습니다.

외부 상태 확인
merge 하기 전에 확인을 위해 Merge Request 데이터를 서드 파티 시스템에 보냅니다.

코드를 merge 하기 전에 Jira 이슈 요구
Jira 이슈를 각 Merge Request에 연결하도록 요구해 Jira와 GitLab을 둘 다 사용하는 팀이 더 잘 협업하고 동기화를 유지하도록 지원하세요.

감사 이벤트 스트리밍
감사 이벤트가 발생하면 이를 원하는 곳에 보내세요. 이를 사용해 커스텀 자동화를 추진하고, 백업을 생성하거나, 다른 데이터 스트림과 통합하세요. API나 GitLab UI를 사용해 이를 구성하세요.

라이선스 승인
사용하는 라이선스가 조직 정책을 따르지 않을 때, 개발자가 코드를 merge 하도록 허용하기 전에 법무·컴플라이언스 팀의 승인을 받아야 합니다.

라이선스 컴플라이언스
의존성 라이선스가 애플리케이션과 호환되는지 확인하고, 이를 승인 또는 거부합니다. 그러면 결과가 Merge Request와 Pipeline 보기에 나타납니다.

포트폴리오 관리

멀티 레벨 에픽
멀티 레벨 에픽으로 전략, 이니셔티브, 기능을 계획하고 추적하세요. 에픽 트리(Epic Tree) 안에서 여러 하위 에픽과 해당 이슈 전반에 걸쳐 작업을 정리하고 우선순위를 매기세요.

이슈와 에픽 상태 보고
에픽 트리(Epic Tree)에서 빨간색, 황색 또는 녹색 상태를 보면서 개별 이슈와 에픽 상태를 보고하고, 신속하게 대응하세요.

포트폴리오 수준 로드맵
포트폴리오 수준의 로드맵을 사용해 제품 비전과 전략을 수립하고, 진행 상황의 통찰을 얻으며, 여러 분야 팀의 활동을 정리하고, 관리하며, 구체화할 수 있습니다.

Value Stream 관리

Value Stream Dashboard의 DORA 메트릭 대시보드
DORA 메트릭을 GitLab Value Streams Dashboard에서 이용할 수 있습니다.

DORA - 변경 리드 타임
변경 리드 타임은 프로덕션에 변경 사항을 merge 하는 시간을 측정하고, 시간 경과에 따른 배포 효율성을 이해하며, 개선 영역을 찾도록 지원합니다.

DORA - 배포 빈도
시간 경과에 따른 배포 빈도를 모니터링하고, 병목 현상을 찾으며, 필요할 때 개선하세요.

DORA - 서비스 복구 시간
시간 경과에 따른 서비스 복구 시간을 모니터링하고, 가동 시간을 개선하며, 여러분 환경에서 서비스 장애를 줄이세요.

DORA - 변경 실패율
변경 실패율을 모니터링하고, 가동 시간을 개선하며, 여러분 환경에서 서비스 장애를 줄이세요.

Insights: 커스텀 DORA 보고
Insights YAML 기반 보고서로 DORA 데이터를 시각화하는 커스텀 차트입니다.

시간 경과에 따른 DORA 추세 차트
DORA 메트릭으로 Value Stream 작업을 파악하세요.

라이프사이클, DORA, Merge Request, 취약점 메트릭을 포함한 Value Streams Dashboard
조직은 Value Streams Dashboard를 사용해 일정 기간에 이러한 메트릭을 추적하고 비교하며, 하락세를 조기에 확인하고, 보안 노출을 파악하며, 개별 프로젝트 또는 메트릭을 드릴 다운해 개선 조치를 취할 수 있습니다. 통합 데이터 저장소가 있는 단일 애플리케이션으로 구축된 이 포괄적인 뷰(view)는 경영진부터 개별 기여자까지 모든 이해관계자가 서드 파티 도구를 구입 또는 유지 관리할 필요 없이 소프트웨어 개발 라이프사이클을 파악하도록 지원합니다.

Insights
triage hygiene(특정 기간 우선순위/심각도별 버그 수), 특정 기간에 생성/종료된 이슈, Merge Request가 merge 되는 평균 시간 등 여러 데이터를 시각화하는 차트입니다.

무료 게스트 사용자

무료 게스트 사용자
게스트 사용자는 라이선스 수에 포함되지 않습니다.

다른 Ultimate 기능

액세스 토큰 수명 제한
관리자는 규정 준수를 위해 기본값인 365일보다 짧은 액세스 토큰 제한을 설정할 수 있습니다.

연결된 에픽
에픽을 서로 연결된 것으로 표시합니다.

CI/CD 파이프라인의 요구사항 충족
이 강력한 기능은 GitLab 단일 애플리케이션 모델을 사용해 CI/CD 파이프라인에서 테스트를 실행해 요구사항을 충족하도록 지원합니다. 이는 충족된 요구사항을 확인하는 번거로운 작업을 자동화하고, 조직이 가치를 전달하는 데 주력하도록 합니다.

요구사항 가져오기와 내보내기
외부 그룹, 조직과 더 잘 협업하도록 요구사항을 CSV 형식으로 가져오고, 내보낼 수 있습니다. 이는 팀이 요구사항 개발과 테스트에 단일 인터페이스를 사용하도록 지원합니다.

GitLab 안에서 테스트 케이스 생성하기
GitLab 안에서 테스트 케이스를 생성하고 확인합니다. 이는 기여자 간에 원활한 협업을 지원합니다.

포트폴리오 관리
프로젝트와 포트폴리오 수준에서 작업을 계획하고 추적합니다. 포트폴리오 관리 기능을 사용해 용량과 리소스를 함께 관리합니다.

MR diff의 코드 품질(Code Quality) 위반 알림
Merge Request(MR)에 도입된 코드 품질 위반 알림 기능은 MR diff 보기에 주석을 달아 'merge 되면 코드 품질이 어떻게 떨어지는지' 상세히 알려줍니다.

Secret Detection 위한 Custom Ruleset
GitLab Secret Detection은 사용자가 취약점 탐지 기본값을 변경해 조직의 기본 설정에 맞춰 결과를 조정하도록 지원합니다. Secret Detection은 이제 기존 규칙 비활성화 기능과 커스텀 시크릿의 모든 유형을 탐지하는 새로운 정규 표현식 패턴 추가 기능을 제공합니다.

유출된 시크릿에 자동 대응
> Secret Detection의 자동 대응은 유출된 자격 증명의 영향을 완화하도록 지원합니다. GitLab은 유출된 개인 액세스 토큰(PAT)을 자동으로 취소합니다. GitLab.com에서 Secret Detection은 파트너가 발급한 자격 증명이 유출될 때 선별된 파트너에게 알림을 보냅니다. 파트너는 이러한 경보에 대응해 서비스와 고객을 보호하도록 취해야 할 조치 유형을 선택합니다.

컨테이너 스캐닝 취약점의 자동 솔루션
코드베이스에 영향을 주는 취약점을 수정하는 패치를 다운로드받고 적용합니다.

동적 API 보안 테스트(DAST API)
UI뿐만 아니라 실행 중인 애플리케이션의 공격 표면 전반에 걸쳐 취약점의 인사이트를 얻습니다. Postman 컬렉션, HAR 파일, OpenAPI 사양을 활용해 URL과 API 엔드포인트를 자동으로 찾고, 동적으로 테스트합니다.

의존성 스캐닝 취약점의 자동 솔루션
코드베이스에 영향을 주는 취약점을 수정하는 패치를 다운로드받고, 적용합니다.