애플리케이션 - 분석

릴리스 상태

Snyk AppRisk Pro용 애플리케이션 분석은 이른 액세스 단계이며, 엔터프라이즈 플랜과 Snyk AppRisk Pro에서만 이용 가능합니다. 그룹에서 설정하려면 Snyk 계정팀에 문의하십시오.

테넌트 수준에서 사용 가능한 애플리케이션 분석 탭(오직 Snyk AppRisk Pro에서 이용 가능) 아래의 분석 메뉴. 애플리케이션 분석은 AppSec 프로그램의 심층 분석을 제공하여 AppSec 관리자와 엔지니어링 팀이 애플리케이션 보안 프로그램을 지원하도록 설계되었습니다.

이 대시보드는 오픈 이슈, 컨트롤 커버리지 및 리포지토리 메타데이터의 상태와 트렌드를 비롯한 필수 데이터를 표시합니다. 또한 가져온 자산의 상태를 보여줍니다. 이는 자산 클래스, 애플리케이션 또는 팀과 같은 다양한 관점에서 정보의 포괄적인 간략한 검토를 제공하며, 사용자 경험을 향상시키기 위한 글로벌 필터 바를 제공합니다.

개요

애플리케이션 분석을 통해 상위 다운 접근 방식에서 AppSec 프로그램 상태와 결과를 검토하고 탐색할 수 있습니다. 일반적인 레벨에서 애플리케이션, 팀(소유자) 또는 자산 클래스에서 탐색을 시작하고 자산 수준으로 좁혀나갈 수 있습니다. 개선이 필요한 부분을 식별하고 발전 중인 위험을 인식하며 미시간과 내 간과된 취약점을 대비하는 방식으로 애플리케이션 분석을 활용할 수 있습니다. 애플리케이션 분석은 해당 테넌트에 대해 사용 가능한 모든 그룹에서 데이터를 검색합니다.

Snyk AppRisk Essentials를 사용 중이라면, 자산 대시보드 페이지로 이동하여 자산에 대해 자세히 알아보거나 분석 페이지에 남아 검출된 이슈를 탐색할 수 있습니다.

애플리케이션 분석을 활용하면 다음과 같은 질문에 대한 답변을 제공합니다:

  • 어떤 중요한 자산이 공개적으로 노출되었고 커버리지 정책에 따라 테스트되지 않았는가?

  • 어떤 애플리케이션과 코드 소유자가 중요 및 고위험 이슈가 축적된 것 중 얼마나 많은 위험이 맡고 다른 사람들과 어떻게 비교되는가?

  • 어떤 리포지토리가 애플리케이션이나 코드 소유자에 명확한 연관성이 없이 존재하는지 및 새로운 자산이 예상대로 연관되고 있는가?

애플리케이션 분석 개요

필터 및 뷰

사용 가능한 필터, 차원 뷰 및 특정 타임프레임을 사용하여 데이터를 사용자 정의할 수 있습니다.

필터는 테넌트 수준에서 적용되며, 사용자 정의된 후 이는 애플리케이션 분석 페이지에 제시된 모든 보고서와 통계에 영향을 줍니다.

View by 옵션을 사용하여 데이터를 더 세부화할 수 있습니다. 이는 특정 차원(자산 클래스, 애플리케이션 또는 소유자)에 초점을 맞춥니다.

필터

필터는 애플리케이션 분석 페이지의 왼쪽 상단에 위치하며, 필요에 따라 사용자 정의할 수 있습니다.

다음과 같은 사용 가능한 필터들이 있습니다:

필터
설명

그룹

선택한 테넌트에 대해 선택 가능한 모든 그룹 목록을 제공합니다. 선택을 사용자 정의하여 특정 그룹에만 초점을 맞출 수 있습니다. 기본 설정은 모든 가능한 그룹에 대한 정보를 제공합니다.

이슈 심각도

발견된 이슈의 심각도에 대한 사용 가능한 유형 목록을 제공합니다. 기본 설정은 중요 및 고위험 심각도를 가진 이슈에 대한 정보를 제공합니다.

필터 추가

  • 자산 유형

  • 자산 클래스

  • 자산 애플리케이션

  • 자산 소유자

  • 자산 위험 요소

  • 이슈 원천

더 맞춤화된 데이터 분석을 위해 필터를 추가할 수 있습니다.

  • 자산 유형 - 자산 유형(컨테이너 이미지, 리포지토리)로 필터링

  • 자산 클래스 - 자산 클래스(A, B, C, D)로 필터링

  • 자산 애플리케이션 - 자산을 보고 싶은 애플리케이션으로 필터링

  • 자산 소유자 - 분석된 자산의 리포지토리 소유자로 필터링

  • 자산 위험 요소 - 분석된 자산의 특정 위험 요소로 필터링

  • 이슈 원천 - 분석된 이슈의 원천으로 필터링

필터 초기화

필터를 기본 상태로 재설정합니다.

AppSec 프로그램 관리는 자산 및 이슈의 완전한 가시성을 보장하는 것이 어려울 수 있습니다. 보호가 필요한 자산을 식별하고 모든 적용 가능한 AST(Aplication Security Testing)로 감시하는 것은 어려울 수 있습니다. 새로운 자산과 AST 내의 설정 오류로 인해 커버리지가 부족하고 중요한 가시성이 빠져들게 됩니다.

AppSec 팀은 애플리케이션 및 해당 소유자와 관련된 위험 및 취약성에 대한 포괄적인 이해를 유지해야 합니다.

애플리케이션 또는 소유자에 대한 메트릭을 보는 것이 더 의미가 있는데, 이는:

  • 기업 전체의 모든 수준 및 그룹에 상황 및 발전 트렌드를 명확하게 전달합니다.

  • 상황을 인식해야 하는 사람과 조치를 취해야 하는 사람을 식별합니다.

  • 비교 및 어디에 더 많은 주의가 필요한지 결론을 도출합니다.

애플리케이션 분석은 주요 자산, 애플리케이션 및 코드 소유자(팀)에 대한 새로운 수준의 가시성을 제공하고 위험과 커버리지에 대해 식별하고 조치를 취할 수 있도록 돕습니다.

연구 및 개발 팀 간의 협력은 최상의 가시성을 달성하기 위해서 중요하며 AppSec 팀의 주의를 요구합니다.

분석 시간대를 선택할 수 있습니다:

  • 자산 클래스

  • 애플리케이션

  • 소유자

차원별 뷰를 선택하면 선택한 차원을 기반으로 모든 노출된 위젯이 영향을 받아 선택한 차원을 기반으로 데이터 포인트를 비교할 수 있습니다.

위젯은 컨텍스트에 따라 상위 다섯 애플리케이션 또는 코드 소유자를 선택합니다. 예를 들어 "컨트롤별 열린 이슈" 위젯에서는 표시 뷰를 적용한 후 이슈 총 수에 따라 상위 다섯 애플리케이션 또는 소유자가 선택됩니다. 애플리케이션 또는 소유자 표시 뷰를 추가할 수 있어 특정 애플리케이션 또는 소유자를 비교할 수도 있습니다.

자산 및 애플리케이션의 중요성과 민감성은 다양합니다. 일부 리포지토리는 내부용이며 테스트 목적으로만 사용되며, 다른 것은 공개 서비스에서 사용되는 공개적인 것입니다.

대시보드의 기본 보기는 자산 및 이슈 메트릭스를 자산 클래스별로 비교합니다. 차원별 뷰로 선택하면 대시보드 전체에서 애플리케이션 또는 코드 소유자 사이의 비교를 볼 수 있습니다.

자산 클래스 뷰

자산 클래스는 자산의 비즈니스 중요도를 나타내며 A(가장 중요)부터 D(가장 부정적)까지 분류합니다. 이 수준의 가시성을 통해 인벤토리, 애플리케이션 또는 코드 소유자 중 가장 중요한 자산을 우선 순위를 매길 수 있습니다. 자산 클래스를 자산에 연관시키기 위해 인벤토리 화면에서 자산 클래스를 수동으로 변경하거나, 자산에 자산 클래스를 자동으로 할당하는 분류 정책을 정의하는 것이 좋습니다.

애플리케이션 및 소유자 뷰

애플리케이션 분석 대시보드의 데이터를 애플리케이션 또는 코드 소유자에 기반하여 필터링할 수 있습니다. 계속하려면 리포지토리의 적절한 메타데이터를 갖고 있어야 합니다. 메타데이터는 Snyk SCM 통합을 통해 직접 추출할 수 있습니다. 이 메타데이터가 리포지토리에 있는지 여부를 확인하려면 리포지토리 메타데이터의 완전성 위젯을 확인하십시오. Snyk은 대시보드의 자산 클래스 필터를 사용하여 모든 A 클래스 자산이 올바르게 구성되어 있는지 확인하기를 권장합니다.

분석 시간대

자산 소개 날짜 필터를 추가하여 분석된 데이터의 특정 날짜 범위를 선택할 수 있습니다. 이 필터를 적용하면 선택한 날짜 범위에 소개된 자산 데이터만 표시됩니다. 추세 위젯은 마지막 3개월의 고정된 시간대를 보여줍니다.

애플리케이션 분석의 데이터는 시간당 업데이트됩니다.

다음 비디오는 애플리케이션 분석의 주요 기능을 제시합니다:

비디오를 좋아하셨나요? Snyk Learn에서 나머지 코스를 확인해보세요!

데이터 범주

애플리케이션 분석 대시보드는 세 가지 주요 데이터 범주에 집중합니다:

  • 커버리지 - 분석된 자산의 커버리지 상태 및 트렌드를 제공합니다.

  • 이슈 - 열린 이슈의 상태를 제공합니다.

  • 자산 - 리포지토리 메타데이터의 커버리지 상태 및 가져온 자산의 상태 및 트렌드를 제공합니다.

커버리지

AppSec 팀의 핵심 미션 중 하나는 자산 인벤토리 전체에 적절한 스캔 커버리지를 확보하는 것입니다. 커버리지가 있는 자산은 특정 애플리케이션 보안 테스트(AST) 제품으로 스캔된 자산을 간단히 나타냅니다. 커버리지가 없는 자산을 사용하면 회사가 알려지지 않은 위험에 노출되므로 비즈니스 중요 자산(자산 클래스 또는 전략적 애플리케이션 기반)이 제대로 스캔되고 있는지 확인하는 것이 중요합니다.

커버리지 섹션에는 자산 커버리지에 대한 정보가 있습니다.

  • 커버리지 개요 - 스캔한 자산에 대한 정보를 스캔 카테고리(SAST, SCA, 컨테이너 및 비밀)별로 백분율로 제공합니다.

  • 커버리지 트렌드 - 지난 3개월 동안의 커버리지 추세를 검토할 수 있습니다. 증가 추세는 자산 인벤토리의 더 많은 부분이 스캔되었음을 나타냅니다.

적용 범위 섹션은 스캔 카테고리를 기반으로 하며 선택한 보기(자산 클래스, 애플리케이션 또는 소유자)의 영향을 받지 않습니다.

적용 범위 섹션

Issues

이슈 섹션에서는 분석된 미결 이슈에 대한 정보를 확인할 수 있습니다.

  • 카테고리별 미결 이슈 - 이 그래픽은 이슈 소스 카테고리(SAST, SCA, 컨테이너 및 시크릿)와 선택한 보기(자산 클래스, 애플리케이션 및 소유자 간 비교 가능)별로 배포된 이슈의 수를 명확하게 보여줍니다.

  • 미결 이슈 분석 - 이 그래픽은 미결 이슈의 백로그에 대한 정보를 제공합니다. 특히 상위 자산 클래스나 전략적 애플리케이션의 경우 음수 추세가 바람직합니다. 선택한 보기를 통해 자산 클래스, 애플리케이션 및 소유자 간에 비교할 수 있습니다.

자산 클래스, 애플리케이션 또는 소유자를 기준으로 문제를 보도록 선택할 수 있습니다. 표시되는 정보의 초점은 선택한 보기에 따라 변경됩니다. 애플리케이션 또는 소유자별로 볼 때는 이슈가 가장 많은 상위 5개 애플리케이션 또는 소유자만 표시됩니다.

표시된 데이터 위로 마우스를 가져가면 각 그래픽에 대한 자세한 내용을 볼 수 있습니다. 각 그래픽의 오른쪽에 있는 추가 컨트롤을 사용하여 이미지로 다운로드할 수 있습니다.

Assets

자산 섹션에는 분석된 자산에 대한 정보가 있습니다.

  • 위험 요소 분석 - 코드 리포지토리 및 컨테이너 이미지에서 위험 요소의 진행 상황을 보여주는 깔때기입니다. 각 레이어는 선택한 보기, 자산 클래스, 애플리케이션 또는 소유자에 따라 나뉩니다. 애플리케이션 또는 소유자별로 볼 때는 위험 요소가 있는 자산의 수에 따라 상위 5개 애플리케이션/소유자만 표시됩니다.

  • 새 자산 도입 - 시간 경과에 따른 인벤토리 규모를 추적할 수 있습니다. 추세는 리포지토리와 컨테이너 이미지만 계산합니다. 애플리케이션 또는 소유자별로 볼 때는 자산이 가장 많은 상위 5개 애플리케이션/소유자만 표시됩니다.

자산 클래스, 애플리케이션 또는 소유자를 기준으로 자산 섹션을 보도록 선택할 수 있습니다. 표시되는 정보의 초점은 선택한 보기에 따라 변경됩니다.

표시된 데이터 위로 마우스를 가져가면 각 그래픽에 대한 자세한 내용을 볼 수 있습니다. 각 그래픽의 오른쪽에 있는 추가 컨트롤을 사용하여 이미지로 다운로드할 수 있습니다.

Metadata 완전성

메타데이터 완성도 섹션에서는 리포지토리에 대한 애플리케이션 컨텍스트 소스의 메타데이터 완성도에 대한 정보를 제공합니다.

  • 리포지토리 메타데이터 완전성 - 코드 리포지토리 전반에서 애플리케이션 컨텍스트 메타데이터의 가용성을 표시합니다(애플리케이션 컨텍스트 메타데이터에 대한 자세한 내용은 여기에서 확인하세요).

  • 리포지토리 소스 배포 - 통합 유형(SCM 통합, 타사 통합)에 따라 배포된 리포지토리에 대한 정보를 제공합니다. 애플리케이션 또는 소유자별로 볼 때는 자산이 가장 많은 상위 5개 애플리케이션/소유자만 표시됩니다.

Previous이슈 - 분석Next보고

Last updated