CI/CD 파이프라인에 Snyk 추가 및 구성하기

빌드 파이프라인에서 게이트로서 Snyk를 사용하면 설정한 "실패" 기준에 따라 새로운 취약점의 도입을 방지할 수 있습니다.

팀이 애플리케이션의 취약점을 이해하고 개발 주기 초기에 이를 해결하기 위한 프로세스를 개발한 후,Snyk를 구성하여 취약점이 감지되면 빌드가 실패하도록 설정하여 애플리케이션에 취약점이 도입되는 것을 방지할 수 있습니다.

가져오기 요구 사항 없음

파이프라인에 테스트를 추가하는 장점은 리포지토리를 가져올 필요가 없다는 것입니다(이는 Snyk PR 검사에 필요합니다). 이는 심지어 PR을 테스트하는 경우에도 추가적인 게이트로 사용될 수 있으며, 새로운 취약점이 프로덕션 빌드로 진입하는 가능성을 더욱 줄일 수 있습니다.

파이프라인 옵션

빌드 파이프라인에 Snyk를 추가할 때 일반적으로 사용하는 옵션은 다음과 같습니다:

• 특정 파이프라인 통합을 사용하기

• Snyk CLI를 사용하고 특정 명령을 직접 실행하기

각 옵션에는 장단점이 있습니다. 기존의 파이프라인 통합 사용은 더 빠르고 구성하기 쉬울 수 있지만, Snyk CLI를 사용하면 "실패" 기준에서 더 많은 옵션과 유연성을 제공할 수 있습니다.

파이프라인 테스트 필터

파이프라인에서 테스트를 실행할 때 테스트가 통과 또는 실패할 조건을 결정하는 필터가 있습니다. 이 중 가장 일반적인 것은 "심각도 임계값"이며, 이를 사용하여 빌드가 High 또는 Critical 심각도의 취약점이 발견되었을 때에만 실패하도록 지정할 수 있습니다.

CLI 지원 도구

파이프라인에서 Snyk CLI를 사용하는 경우 Snyk 도구로 추가 기능이 제공됩니다. 이는 다음과 같은 기능을 포함합니다:

• snyk-filter: “3개 이상의 High 심각도 취약점이 발견되면 실패”와 같은 복잡한 “실패” 기준에 사용할 수 있습니다.

추가 참고 자료

다음 웨비나 링크는 CI/CD 검사에 대해 자세히 다루며, 이 기능을 점진적으로 도입하는 예제를 포함하고 있습니다: CI/CD Best Practices.