롤아웃 계획 만들기

각 비즈니스는 다릅니다. 당신의 팀이 이미 보안 도구를 사용하고 규정 중심적인 산업에 속한다면, 제어 요소는 비교적 빠르게 켜질 수 있습니다. 그러나 개발의 일환으로 보안을 처음 도입하는 경우, 단계별로 도구와 제어를 롤아웃하는 것이 강력히 권장됩니다.

제안된 온보딩 접근 방식

회사에 Snyk를 소개할 때, Snyk는 통합을 구성한 후 다음의 점진적 롤아웃을 제안합니다.

1. 시범팀으로 시작하기

다음에서 약간의 참가자를 선택하여 시작하세요:

  • 애플리케이션 보안 팀 (해당하는 경우)

  • 새 애플리케이션을 빌드하는 프로젝트 팀

  • 비즈니스 중요 애플리케이션을 개발하는 개발자들

이를 통해 다음을 할 수 있습니다:

  • 초기 사용자 철저하게 온보딩

  • 프로세스 개선을 위한 피드백 수집

  • 넓은 롤아웃 이전에 문제 식별

  • Snyk 홍보를 위한 성공 사례 작성

전체적인 환경 내에서 Snyk를 구현할 최상의 프로세스와 방법을 식별하기 위해 작은 시범팀과 함께 롤아웃을 진행하면 보통 모든 것을 저장소 통합을 사용하여 가져오면서 시작하고 최상의 프로세스와 방법을 식별할 수 있습니다.

2. Git 저장소 통합으로 가시성 확보

이후, 보안 상태에 대한 넓은 시야를 확보하기 위해 Git 저장소 전체에 Snyk 통합을 설정하세요.

모든 사용자를 온보딩한 경우 가져오기 전에 알림을 비활성화하여 노이즈를 줄입니다.

이 프로세스를 사용하는 주된 이점은 다음과 같습니다:

  • 코드베이스 전체의 광범위한 스캔

  • 코드 변경 시 자동 스캔 트리거

  • 포괄적인 커버리지 확보 방법

3. 주요 애플리케이션 우선 처리

시범팀에게 타겟팅된 Snyk CLI 스캔을 사용하여 중요 애플리케이션을 보호하도록 요청하세요.

이 프로세스를 사용하는 주된 이점은 다음과 같습니다:

  • 핵심 앱에 대한 향상된 가시성

  • 정밀도를 위한 세밀하게 조정된 CLI 테스팅

  • 집중된 전반적인 뷰를 위해 리포지토리 노이즈 제거

4. 액세스 확장

우선 처리된 우선순위와 개선된 프로세스로 시작하여 팀 전체에 걸쳐 액세스를 넓게 확장하세요.

이 단계별 접근법을 통해 신중한 온보딩을 허용하면서 신속하게 가시성과 제어를 확보할 수 있습니다.

5. 게이팅 활성화

첫 달 후, 서서히 게이팅 조치를 활성화하세요.

  • severityis fixable와 같은 기준을 사용하여 Pull Request/Merge Request 검사

  • Snyk Filter 플러그인을 사용하여 오픈 소스에 대한 High 또는 Critical, CVSS, Mature Exploit를 기준으로 빌드 실패

특히 시범팀 단계에서 몇 가지 애플리케이션부터 시작하고 프로세스를 거친 후 넓게 롤아웃하는 것이 권장됩니다.

예외 처리

예외 처리 절차가 있고 사용자가 인지하도록 보장하세요. 예를 들어:

  • Snyk에 의해 Pull Request/Merge Request가 실패한 경우, 이를 재정의할 수 있는 Snyk 관리자가 누구인지 사용자에게 알립니다.

  • 마찬가지로 CI/CD에서 Snyk가 실패한 경우, 이를 무시할 수 있는 규칙을 생성하거나 진행할 수 있는 권한이 있는 사용자 또는 Snyk test를 실행하지 않거나 monitor로 설정하도록 CI/CD를 구성할 사용자에게 알립니다.

Previous롤아웃 통합 선택Next2단계: 조직 구성

Last updated