개요

코드베이스 및 클라우드 인프라 구성을 스캔하고 보호하기 위해 Snyk을 사용할 수 있습니다. 정적 애플리케이션 보안 테스팅(SAST), 소프트웨어 구성 분석(SCA) 및 코드형 인프라 분석에서 Snyk 기능을 활용할 수 있습니다.

스캔 방법 선택

Snyk은 Snyk 제품에 해당하는 스캔 방법을 지원합니다. 소프트웨어 개발 수명 주기 초기뿐만 아니라 웹 애플리케이션이 활성화된 후에도 문제를 찾아 해결하기 위해 적합한 스캔 방법을 선택하십시오.

• Snyk Open Source: 오픈 소스 라이브러리에서 취약점 및 라이선스 문제를 스캔합니다. 자세한 내용은 오픈 소스 보안 설명을 참조하십시오.

• Snyk Code: 소스 코드 분석을 사용하여 코드에서 보안 취약점을 스캔합니다. 자세한 내용은 Snyk Code 뒤에 숨겨진 고급 기술 탐색을 참조하십시오.

• Snyk Container: 컨테이너 이미지 및 워크로드 취약점을 스캔합니다.

• Snyk Infrastructure as Code: 배포 전후에 클라우드 인프라 구성의 문제를 스캔합니다.

• Snyk API & Web: AI 생성된 API 및 웹 앱을 포함한 모든 API 및 웹 앱의 보안을 검색하고 테스트합니다. Snyk API & Web 도움말 센터 및 Snyk API & Web 개발자 문서를 참조하십시오.

풀 리퀘스트 검사 실행

모니터링하는 리포지토리에 제출된 모든 새 PR(Pull Request)을 스캔하고 잠재적인 취약점을 자동으로 해결하여 오픈 소스 라이브러리 및 자체 코드에 대한 프로덕션 보안 문제를 방지합니다.

Snyk은 또한 예약된 시간에 기본 브랜치를 다시 테스트하고 경고를 표시하며 결과를 보여줄 수 있습니다.

자세한 내용은 PR 검사 실행을 참조하십시오.

스캔 프로세스

Snyk은 개발자 우선 접근 방식을 통해 IDE, 워크플로우 및 자동화 파이프라인에 직접 통합하여 툴킷에 보안 전문 지식을 추가함으로써 개발 작업을 보호합니다. 이 접근 방식을 통해 다음을 수행할 수 있습니다.

• Snyk을 사용하여 초기 활성화에 집중하고 나중에 강제하지 않습니다.

• 코드를 커밋하기 전에 프로젝트 작업 중에 스캔을 실행합니다. 이는 초기에 변경이 필요한 문제를 찾아 재작업을 최소화합니다.

• 각 패키지와 인터페이스하는 코드를 작성하기 전에 패키지를 추가하고 테스트합니다.

• 주요 코드 섹션을 작성한 후 작업을 계속하기 전에 스캔하여 문제를 찾습니다.

안전한 코드 설계 방법 알아보기

다음 리소스는 모든 사용자에게 제공됩니다.

• Snyk Advisor: 건전한 오픈 소스 패키지 또는 기본 이미지를 선택하여 코드를 개발할 수 있도록 돕습니다.

• Snyk Learn: 안전하게 코드를 작성하는 방법을 배우고 Snyk 사용 방법에 대한 교육을 제공합니다.

코드 작성 및 배포

• Snyk CLI를 사용하여 로컬 머신에서 스캔할 수 있습니다. 이는 오픈 소스 및 정적 코드뿐만 아니라 컨테이너 및 코드형 인프라 구성(예: Terraform 플랜 파일과 같이 변수로 템플릿화된 복잡한 파일 포함)을 스캔하는 데 유용합니다.

• Snyk IDE 플러그인을 사용하여 프로젝트를 생성하면서 개발 환경에서 오픈 소스 패키지, 자체 코드 및 코드형 인프라(IaC) Kubernetes 배포 파일을 테스트할 수 있습니다.

• Git 통합을 사용하여 코드 및 배포된 애플리케이션 모두에 대한 Git 리포지토리의 보안을 향상시킬 수 있습니다.

• CI/CD 통합을 사용하여 통합 및 배포 파이프라인에서 빌드를 실패시켜 취약점이 코드에 유입되는 것을 방지할 수 있습니다.

프로덕션에서 코드 모니터링

코드를 프로덕션에 통합하기 전에 snyk monitor 또는 snyk container monitor CLI 명령을 사용하여 오픈 소스 및 컨테이너 프로젝트에 도입된 문제를 식별하고 프로덕션으로 푸시하기 전에 이러한 프로젝트의 취약점을 모니터링합니다.

자세한 내용은 프로젝트를 정기적으로 모니터링을 참조하십시오.

Snyk을 사용하여 문제 관리 및 해결

애플리케이션을 처음 스캔할 때 수백 또는 수천 개의 문제가 발견되면 문제 우선순위 지정이 중요해집니다. 자세한 내용은 문제 우선순위 지정을 참조하십시오.

Snyk은 반응적이고 능동적으로 문제를 해결할 수 있는 기능을 제공합니다.

• 능동적인 조치

  • Snyk Advisor를 사용하여 더 나은 패키지를 식별하여 설계를 시작합니다.

  • 개발하는 동안 CLI 및 IDE 플러그인을 사용하여 테스트합니다.

  • 코드를 작성하기 전에 패키지를 추가하고 설치되었는지 확인하고 보안을 위해 스캔합니다.

• 수정 권고 Snyk은 통합 전반에 걸쳐 이 권고를 제공하며, 패키지 매니페스트에서 업데이트가 필요한 최상위 패키지를 계산하거나 코드 라인을 안전하게 만들기 위해 코드 라인을 업데이트하는 방법을 계산하고 결과 화면에 권고를 표시합니다.

• 자동화

  • Snyk은 새로운 취약점이 발견되고 수정 사항이 제공될 때 자동 수정 풀 리퀘스트를 생성할 수 있습니다.

  • 새 버전의 패키지가 제공될 때 종속성 업그레이드 관련 풀 리퀘스트를 활성화할 수 있습니다. 이는 종속성을 업데이트하기 위한 PR 알림을 제공하여 기술 부채를 해결하는 데 도움이 됩니다.

배포 및 출시 권장 사항

스타트업, 소규모 팀, 개인 및 오픈 소스 유지 관리자는 일반적으로 Git을 사용하여 애플리케이션을 온보딩하고 몇 분 내에 결과를 얻으며 거의 즉시 문제를 해결하기 시작합니다. 소규모 팀은 민첩하게 작업하고 워크플로우에 가장 적합한 것을 결정하는 데 이점을 얻습니다. 자세한 내용은 팀 구현 가이드를 참조하십시오.

수백 개의 애플리케이션을 개발하는 대규모 조직의 경우, 개발자의 동의와 채택을 얻고 긍정적인 출시 경험을 보장하기 위해 더 느린 접근 방식이 권장됩니다. 자세한 내용은 엔터프라이즈 구현 가이드를 참조하십시오.