취약점 파악

취약성 세부 정보 보기

먼저, Snyk 프로젝트를 확인하려면 대상을 열어보세요:

다음으로, 해당 목록에서 프로젝트를 선택하여 해당 프로젝트에서 발견된 취약성 세부 정보를 확인하세요.

예를 들어, 코드 분석 프로젝트를 로 스캔한 경우:

자세한 내용은 프로젝트 정보 보기를 참조하세요.

이슈 카드 보기

이제 각 Snyk 프로젝트의 취약성 정보를 제공하는 이슈 카드를 살펴보세요:

다시 말하지만 이해할 내용이 많으므로 취약성에 대한 이 모든 정보가 어떻게 관련되는지 이해하는 데 시간을 투자하여 어떤 조치를 취할지 결정하는 데 도움이 되도록 해야 합니다.

자세한 내용은 이슈 카드 정보를 참조하세요.

추가 취약성 정보 액세스

Snyk은 취약성에 대한 자세한 정보를 위한 자원을 제공하며, 카드에서 직접 액세스할 수 있습니다:

• Snyk 취약성 데이터베이스: 특정 취약성에 대한 자세한 내용을 액세스할 수 있습니다.

• Snyk 학습: 해당 유형의 취약성에 대한 일반 정보에 액세스할 수 있습니다.

Snyk 취약성 데이터베이스 액세스

오픈 소스 및 컨테이너 취약성의 경우, 취약성 식별자 옆에 있는 Snyk 취약성 식별자를 클릭하여 해당 취약성에 대한 세부 Snyk 취약성 데이터베이스 정보에 액세스할 수 있습니다. 예를 들면:

위 예시에서는 Snyk 취약성 데이터베이스에서 Hibernate Core 및 해당 라이브러리가 SQL 인젝션에 취약하다는 것을 확인할 수 있습니다.

Snyk 학습 액세스

이 유형의 취약성에 대한 학습을 클릭하여 Snyk Learn 보안 교육 자료에 액세스할 수 있습니다:

예를 들어, 이 유형의 취약성에 대한 자세한 내용을 알아보려면 Snyk Learn SQL 인젝션을 확인하세요.

Snyk 우선 순위 점수 이해

0부터 1,000까지의 Snyk 우선 순위 점수는 취약성의 심각성을 평가한 것입니다. Snyk 우선 순위 점수에는 CVSS (공통 취약점 점수 계산 시스템) 정보뿐만 아니라 공격 복잡성 및 알려진 공격에 대한 요소 등이 포함됩니다. 예를 들어, Hibernate 취약성은 해당 취약성을 악용할 수 있는 알려진 공격 수단이 없는 것입니다.

다른 요소도 점수에 영향을 줍니다. 예를 들어, SQL 인젝션은 실행하기 쉽지만 (웹 브라우저를 열고 양식을 제출하기만 하면 됨) 실행 및 해당 공격에 대한 결과를 이해하고 악용해야 하므로 점수가 감소합니다.

오픈 소스 취약성: 수정 및 종속성 정보

Snyk 오픈 소스에 의한 오픈 소스 라이브러리 스캔의 경우 프로젝트 결과의 수정 사항 및 종속성 탭에서 수정 및 종속성 정보를 액세스할 수 있습니다.

수정 탭

Snyk은 프로젝트의 전이 종속성에 대한 지식을 토대로 수정 사항 탭에서 수정 조언을 제공할 수 있습니다:

자세한 내용은 첫 번째 취약성 수정을 참조하세요.

종속성 탭

Snyk은 애플리케이션의 패키지 관리자를 사용하여 종속성 트리를 구축하고 이를 프로젝트 뷰의 종속성 탭에서 표시합니다:

파일 트리 아이콘을 클릭하여 () 종속성 트리를 구축하여 취약성을 도입한 구성 요소가 어떤 것인지 확인할 수 있습니다. 이는 어플리케이션에 어떻게 종속성이 도입되었는지 이해하는 데 도움이 됩니다:

예를 들어, 위 스크린샷은 직접 종속성인 body-parser@ 1.9.0에서 가져온 [email protected]에 기초한 취약성을 보여줍니다.

이제 취약성 정보를 이해했으므로 어떻게 수정할지 결정할 수 있습니다.

첫 번째 취약성 수정을 계속해주세요.