자산 인벤토리 컴포넌트

각 재고 레이아웃은 사용 가능한 주요 속성을 자세히 설명하는 표 형식으로 제공됩니다.

자산

Snyk AppRisk의 자산은 소프트웨어 개발 라이프사이클에서 위험을 일으킬 수 있는 구성 요소를 나타냅니다. 현재 사용 가능한 자산 유형은 다음과 같습니다:

자산은 여러 항목의 상위 항목일 수 있습니다. 예를들어, 리포지토리 자산은 일반적으로 하나 이상의 패키지 자산을 포함합니다.

자산 열은 리포지토리 자산, 패키지, 스캔된 아티팩트 또는 컨테이너 이미지의 이름을 포함합니다. 부모 자산 이름 옆의 화살표를 클릭하여 포함된 모든 항목의 목록을 확장할 수 있습니다.

자산의 이름을 복사하거나 리포지토리를 찾아볼 수 있습니다. 각 자산에는 행 끝에 메뉴가 있습니다. 해당 메뉴를 클릭한 다음 복사를 선택하여 URL을 복사하거나 검색을 선택하여 자산 리포지토리로 이동할 수 있습니다.

리포지토리 자산

리포지토리 자산은 SCM 리포지토리를 나타냅니다. 리포지토리 자산은 관련 통합이 구성된 경우 SCM에서 리포지토리를 직접 발견하여 생성됩니다. 그렇지 않은 경우, (Snyk 또는 제3자 도구에 의해) 리포지토리를 스캔하여 리포지토리를 식별하면 리포지토리 자산을 생성할 수 있습니다 (Snyk의 경우, gitRemoteURL 매개변수를 작성하는 것을 의미).

CLI를 사용하여 코드를 로컬로 스캔하고 특정 리포지토리와 연결이 없는 경우 리포지토리 자산이 생성되지 않습니다.

컨테이너 이미지 자산

이미지 ID를 기반으로 컨테이너 이미지를 식별할 수 있습니다. 동일한 이미지 ID를 갖는 여러 컨테이너 이미지가 있는 경우 해당 ID에 대해 확인된 모든 컨테이너 이미지 정보로 풍부화된 이미지 자산이 하나 생성됩니다.

Snyk AppRisk는 모든 이미지 자산을 에서 검색합니다. 최신 이미지를 스캔하려면 이미지를 다시 가져오세요. 이미지 자산이 포함된 프로젝트에 새로운 스캔을 실행하면 새로운 취약점을 위한 동일한 이미지를 다시 스캔합니다. 새 이미지 자산을 식별하려면 먼저 다시 가져오고 그런 다음 프로젝트를 스캔해야 합니다. 자세한 내용은 컨테이너 이미지에서 애플리케이션 취약점 감지 페이지를 확인하세요.

패키지

Snyk AppRisk의 패키지는 패키지 관리 시스템에 의해 관리되는 소프트웨어나 라이브러리로 정의됩니다.

프로젝트의 종속성을 패키지 관리 시스템을 통해 또는 Snyk CLI를 사용하여 스캔할 때 패키지 자산이 생성됩니다. 이를 통해 Snyk AppRisk는 프로젝트 내에서 사용되는 패키지의 보안 취약점을 식별하고 분석하여 가능한 위험 노출에 대한 통찰을 제공하며 완화에 대한 권장 사항을 제공합니다.

스캔된 아티팩트

Snyk AppRisk에서 스캔된 아티팩트는 리모트 Git URL과 같은 식별 정보를 포함하지 않아 리포지토리 자산으로 식별할 수 없는 Snyk에 의해 감지된 개체입니다.

스캔된 아티팩트는 스캔 결과를 통해 Snyk AppRisk가 감지한 항목에 대한 가시성을 제공하지만 추가 디버깅이 필요합니다.

스캔된 아티팩트는 인벤토리 형식 보기에서 찾을 수 있지만 정책에서 지원하지 않습니다. 식별 정보가 누락되어 중복으로 발생할 수 있습니다.

자산 탭

자산 정보는 다음 탭으로 나누어져 있습니다:

  • 개요 - 자산 속성의 집중된 뷰입니다. 요약 화면은 다음 정보를 제공합니다:

    • 자산 정보

      • 클래스 - 자산의 비즈니스 중요도를 지정합니다.

      • 원본 - 자산의 출처를 지정합니다.

      • 위험 요소 - 활성 위험 요소 목록을 제공합니다.

      • SCM 리포지토리 신선도 - 마지막 커밋 날짜를 포함한 리포지토리의 현재 상태를 제공합니다.

    • 문제 정보 - 식별된 오픈 이슈 유형을 범주화합니다.

    • 애플리케이션 컨텍스트 - Backstage 카탈로그나 ServiceNow CMDB와 같은 App Context 통합에서의 자산 메타데이터로, 카탈로그 이름, 카테고리, 애플리케이션, 소유자 등을 포함할 수 있습니다.

    • 관련 자산 - 선택한 자산과 관련된 자산 목록입니다.

필터를 적용한 후에는 필터 조건과 직접 일치하는 자산만 표시되며, 사용 가능한 경우 선택한 자산과 관련된 하위 자산 목록이 표시되며 해당 정보는 자산(이름), 문제, 제어, 클래스 중심으로 테이블 형식으로 표시됩니다.

Snyk AppRisk 인벤토리 - 자산 요약 뷰
Snyk AppRisk 인벤토리 - 자산 요약 뷰

관련 자산의 세부 정보를 확인하려면 해당 자산 중 하나를 클릭하세요. 일반적으로 이는 패키지 자산입니다. 패키지 자산을 확인할 때 최상단에 부모 리포지토리에 대한 링크가 있는 것을 알 수 있습니다. 부모 자산 링크를 클릭하면 부모 자산의 초기 뷰로 돌아갑니다.

Snyk AppRisk 인벤토리 - 자산 요약 자산 뷰
Snyk AppRisk 인벤토리 - 자산 요약 자산 뷰

  • 속성 - 데이터 소스에서 가져온 자산 ID 또는 자산 유형과 같은 여러 가변 속성입니다. 이 정보가 제공되는 이점은 제시뿐만 아니라 검색 가능하게 만드는 데 있습니다. 자산을 검색하려면 인벤토리 검색 바나 필터를 사용할 수 있습니다.

Snyk AppRisk - 자산 속성 창
Snyk AppRisk - 자산 속성 창

문제

문제 열은 Snyk에서 수행한 스캔 및 내부 도구 결과로 확인된 문제 목록을 종합적으로 제시하는 데 설계되었습니다. 이 상세한 목록은 자산의 보안 포지션을 이해하고 각 문제의 심각성과 영향에 따라 개선 노력에 우선 순위를 지정하는 데 도움을 줍니다. 이러한 문제를 확인함으로써 애플리케이션 및 인프라의 전체적인 보안을 향상시키기 위한 선행 조치를 취할 수 있습니다.

대부분의 문제는 자산에 매핑됩니다. 그러나 이미지 자산과 관련된 문제 중 일부는 자산과 직접적으로 연결되어 있지 않을 수 있습니다.

이러한 자산은 인벤토리 뷰에서 확인할 수 있으며 인사이트 UI 뷰의 자산 및 소스 코드 열에도 표시됩니다.

자산 뷰의 문제 열은 오픈 이슈의 집계 수를 제시하도록 설계되었습니다. 이러한 카운트는 자산, 그 자식 자산 또는 관련 패키지에서 발견된 이슈의 심각도 수준을 기준으로 주의 깊게 분류됩니다. 심각도는 다음과 같이 네 가지 다른 수준으로 나뉘어집니다:

  • C (Critical): 심각한 위협을 나타내며 잠재적인 악용 또는 주요 장애를 방지하기 위해 즉시 해결해야 하는 문제입니다.

  • H (High): 큰 문제이지만 즉시 위험하지는 않지만 적기에 해결되지 않으면 심각한 취약성으로 이어질 수 있는 중요한 문제입니다.

  • M (Medium): 중간 심각도의 문제로 즉시 위험을 만들지는 않지만 전반적인 보안과 기능성을 개선하기 위한 정기적인 유지보수의 일부로 해결해야 하는 중요한 문제입니다.

  • L (Low): 시스템 및 운영 보안에 미치는 영향이 낮지만 최적의 성능을 유지하고 향후 취약점을 방지하기 위해 해결해야 하는 소량 문제입니다.

이 분류는 중요한 부분에 중점을 두고 우선 순위를 정리하여 최우선 영역에 집중하여 보완을 최적화합니다.

커버리지 제어

제어 열에는 특정 리포지토리 자산에서 실행된 모든 Snyk 제품이 표시됩니다. 이 열은 각 Snyk 제품을 나타내는 로고를 원형으로 표시합니다. 로고 아이콘 자체에는 이 소스에서 발생한 최고 심각도의 지시가 있습니다. 예를 들어, 최고 심각도 문제가 C (위험)인 경우 제어 아이콘에 빨간 점이 표시됩니다.

제어 로고에는 다음과 같은 상태가 있습니다:

로고
설명

해당 Snyk 제품이 실행되었습니다.

해당 Snyk 제품이 실행되었지만 문제가 있습니다.

해당 Snyk 제품은 실행되어야 하지만 실행되지 않았습니다.

해당 Snyk 제품이 실행되고 실패했습니다.

해당 Snyk 제품이 실행되었고 문제가 발생했습니다.

해당 Snyk 제품이 실행되었지만 정책에 포함되지 않았던 문제로 실패했습니다.

제어 로고를 클릭하여 최근 테스트 세부 정보와 심각도별로 분할된 문제 수를 보여줍니다. 이는 자산이 특정 제품에 의해 최근 스캔된 시간을 반영합니다.

Snyk AppRisk - 컨트롤
Snyk AppRisk - 컨트롤

태그

리포지토리 자산 태그는 정책을 통해 추가할 수도 있으며 Snyk AppRisk에 의해 시스템이 생성될 수도 있습니다. 태그 필드를 클릭하여 모든 태그를 확인할 수 있습니다.

BitBucket Cloud에서는 리포지토리의 소스 코드에서 사용된 언어를 자동으로 감지할 수 없습니다. Snyk AppRisk에서는 BitBucket Cloud용으로 수동## 클래스 중요도 및 목록에서 다른 하나 선택.

클래스의 값을 수동으로 설정한 후, Set Asset Class를 작업으로 하는 정책에 의한 잠재적인 덮어쓰기를 방지하기 위해 값을 잠길 수 있는 옵션이 있습니다. 자산의 일반 또는 요약 뷰에서 값을 잠길 수 있습니다. 언제든지 잠금 아이콘을 클릭하여 클래스 값을 잠금 해제할 수 있습니다. 값을 잠금 해제하면 확인을 요청하는 팝업이 표시됩니다.

Snyk AppRisk - 클래스 값 잠금
Snyk AppRisk - 클래스 값 잠금

자산 클래스 열은 위험 기반 우선순위에 대한 Insights UI에도 있으며, 여기에서와 동일한 기능을 가지고 있습니다. 현재 Asset Class 열은 리포지토리 자산에 대해서만 사용 가능하며 Snyk Code에만 적용됩니다.

자산 클래스와 Insights UI 간의 동기화에는 최대 3시간이 소요될 수 있습니다.

클래스 값은 정책에 의해 자동으로 생성될 수 있습니다. Set Asset Class를 작업으로 하는 정책을 만들기만 하면 됩니다.

위험 요인

위험 요인 열은 각 자산과 관련된 잠재적인 취약성 및 보안 위협을 나열합니다. 이러한 위험 요인은 사용자가 특정 위험을 식별하여 문제에 대한 우선순위를 지정하고 효과적으로 대응할 수 있도록 도와줍니다. 자산에 특징적으로 연결된 특정 위험을 이해함으로써 사용자는 더 나은 판단을 토대로 조치를 취할 수 있습니다.

출처

Snyk AppRisk의 출처 열은 자산의 원문을 사용자가 식별하도록 도와줍니다. 이는 Snyk를 통해 직접, SCM 시스템을 통해 또는 타사 통합을 사용하여 얻은 것일 수 있습니다. 이 기능을 통해 각 자산의 출처에 대한 명확한 가시성을 제공하여 자산 관리 및 위험 우선순위 지정을 간소화하고 보다 효과적인 보안 전략과 조치 노력을 가능케 합니다.

SCM 리포지토리 최신 정보

SCM 리포지토리 최신 정보 열은 마지막 커밋 날짜를 포함하여 현재 리포지토리의 상태를 즉시 이해할 수 있게 돕습니다. 이를 통해 활성 및 휴면 프로젝트를 빠르게 식별하고 유지 관리, 보안 패치 및 리소스 할당에 대한 의사결정을 지원합니다.

클러스터

클러스터 열은 이미지가 배포되고 있는 모든 클러스터 이름을 나열하며 런타임 통합을 소스로 사용합니다. 이미지가 클러스터에서 제거되면 클러스터 이름도 컬렉션에서 삭제됩니다. 클러스터는 필터 아래에서 이용 가능하며 인벤토리 보기에서 자산을 필터링하거나 정책을 생성할 수 있도록 합니다.

클러스터 열은 Snyk Runtime Sensor이 사용될 때만 채워집니다.

Previous자산 인벤토리 레이아웃Next자산 인벤토리 기능

Last updated