롤아웃 계획 만들기

모든 비즈니스는 다릅니다. 귀하의 팀이 이미 보안 도구를 사용하고 준수에 많은 중점을 두는 산업에 속한다면, 컨트롤을 비교적 더 빨리 켤 수 있습니다. 그러나 개발의 일환으로 보안이 새로운 경우, 단계별로 도구와 컨트롤을 전개하는 것이 강력히 권장됩니다.

제안된 온보딩 접근 방식

귀하는 비즈니스에 Snyk를 도입할 때, Snyk를 SSO로 액세스를 구현한 후 다음 단계롤 전개를 제안합니다.

1. 시범 팀으로 시작

다음부터 참여하는 작은 시범 사용자 그룹을 선택하여 시작하십시오:

• 어플리케이션 보안 팀

• 새로운 어플리케이션을 빌드하는 프로젝트 팀

• 중요한 비즈니스 어플리케이션을 개발하는 개발자들

이것은 다음을 가능하게 합니다:

• 초기 사용자를 철저히 도입

• 프로세스를 정제하기 위해 피드백 수집

• 더 넓은 전개 전에 문제 식별

• Snyk를 홍보하기 위한 성공 사례 구축

일반적으로 대기업에서는 저장소 통합을 사용하여 모든 것을 가져와 어플리케이션 환경 안에서 Snyk를 구현하는 가장 좋은 프로세스 및 방법을 식별하도록 작은 시범 팀과 함께 전개를 처리하는 것이 좋습니다.

2. Git 저장소 통합으로 가시성 확보

다음으로, 보안 포지션을 넓게 파악하기 위해 Git 저장소 전체에 Snyk 통합을 설정합니다.

이 프로세스를 사용하는 주요 장점은 다음과 같습니다:

• 코드베이스 전반적으로 스캔

• 코드 변경 시 자동 스캔 트리거

• 커버리지 획득의 편리한 방법

3. 주요 어플리케이션 우선 처리

시범 팀이 목표 어플리케이션을 보호하도록 집중하도록하고 특정 Snyk CLI 스캔을 사용하십시오.

이 프로세스를 사용하는 주요 장점은 다음과 같습니다:

• 중요 어플리케이션에 대한 향상된 가시성

• 정밀한 CLI 테스트

• 집중적인 보기를 위한 저장소 노이즈 제거

4. 액세스 확대

우선 순위를 처리하고 프로세스를 정제한 후에 팀 전체에 걸쳐 액세스를 확대해 보십시오.

이 단계별 접근은 신중한 온보딩을 가능하게 하면서 빠르게 가시성과 제어를 확보할 수 있습니다.

5. 게이팅 켜기

첫 달이 지나면 서서히 게이팅 조치를 켜세요.

• severity 및 is fixable와 같은 기준을 사용하여 Pull Request/Merge Request Checks를 구현하세요.

• Snyk 필터 플러그인을 사용하여 Open Source의 High 또는 Critical, CVSS, Mature Exploit에 대한 기준과 다른 기준에 따라 빌드 실패를 구현하세요.

특히 시범 팀 단계에서는 몇 가지 어플리케이션으로 시작하고 프로세스를 거쳐보다 넓은 범위로 확대하는 것이 권장됩니다.

예외 처리

예외 처리 프로세스가 마련되어 있고 사용자들이 인식하도록 보장하십시오. 예를 들어:

• Snyk에 의해 Pull Request/Merge Request가 실패한 경우, 사용자가 오버라이드할 수 있는 Snyk 관리자를 알려주세요.

• 비슷하게, CI/CD에서 Snyk이 실패한 경우, 무시 규칙을 만들거나 빌드를 진행할 수 있는 담당자, 또는 Snyk test 없이 실행하거나 monitor로 설정하여 CI/CD를 구성할 수 있는 사용자를 알려주세요.