풀 리퀘스트 검사 구성

자동 PR 검사를 위한 필수 조건

오픈 소스 및 라이선스 이슈와 코드 보안을 확인하려면 다음 사항이 설정되어 있는지 확인하십시오.

• 모든 통합 설정에 액세스할 수 있도록 그룹 관리자(Group Admin) 역할이 있어야 합니다. 멤버 역할을 참조하십시오.

• Git 리포지토리 통합을 설정해야 합니다. 도움이 필요하면 Snyk Learn 과정 소스 코드 관리 도구 구성을 참조하십시오.

• 작동하는 Git 리포지토리를 갖기 위해 프로젝트를 가져옵니다(Import).

• 코드 보안(Snyk Code)의 경우, 위의 모든 조건을 충족한 후 Snyk 담당자에게 문의하여 기능을 활성화하십시오.

지원되는 Snyk 스캔 유형

다음과 같이 PR 검사를 통해 변경된 코드를 분석할 수 있습니다.

• Snyk Code: 소스 코드 변경으로 인해 지정된 임계값을 초과하는 취약점이 발생하는지 확인합니다. 새로운 취약점이 있는지 확인하기 위해 리포지토리에 대한 전체 스캔이 수행됩니다.

• Snyk Open Source: Snyk은 종속성 매니페스트 또는 지원되는 파일을 분석하여 심각도 초과와 같은 임계값을 충족하는 알려진 보안 취약점을 확인하거나 수정 가능 여부를 확인합니다.

• 오픈 소스 라이선스 검사: Snyk은 구성된 정책에 따라 패키지 라이선스의 라이선스 정책 위반 여부를 검증합니다.

PR 검사는 Snyk Code 및 Open Source 엔진에서 지원하는 모든 프로그래밍 언어와 프레임워크도 지원합니다. 자세한 내용은 지원되는 언어, 패키지 관리자 및 프레임워크를 참조하십시오.

PR 검사 구성 작동 방식

PR 검사는 Snyk 조직의 통합 수준에서 구성하거나 조직의 특정 Snyk 프로젝트에 대해 구성할 수 있습니다.

• 조직 내에 여러 리포지토리 통합을 가질 수 있지만, 이 기능은 PR 검사가 구성된 통합에 대해서만 작동합니다.

• 프로젝트 수준에서 설정은 기본적으로 통합에서 상속되지만, 사용자 정의 설정을 구성할 수 있습니다.

통합 수준에서 PR 검사 구성

GitHub 리포지토리와 같이 이미 Snyk과 통합된 특정 Git 리포지토리에 대해 PR 검사를 구성합니다.

구성 설정은 해당 조직의 모든 프로젝트에 적용됩니다. 사용자 정의 설정이 있는 프로젝트로 구성을 확장할 수도 있습니다.

1. Snyk 웹 UI에서 설정(Settings) > **통합(Integrations)**으로 이동하고 연결된 소스 코드 관리 도구를 선택하여 설정 구성을 엽니다.

2. 코드 이슈를 확인하려면 다음 변경 사항을 구성하고 저장하십시오.

• 코드 분석(Code Analysis): Git 리포지토리에서 감지된 새로운 취약점에 대해 PR을 실패시키려면 이 옵션을 활성화합니다. 심각도가 임계값보다 높은 경우 PR은 메인 브랜치에 머지되지 않습니다.

• 실패 조건(Fail conditions): PR이 실패하는 심각도 임계값을 선택합니다. 예를 들어, Medium을 선택하면 이 수준 이상의 이슈가 발견되면 PR이 실패하고, Low 심각도 이슈에 대해서는 머지됩니다.

"수정 가능한 이슈가 발견된 경우에만 실패(Only fail when the issues found have a fix available)"로 구성된 PR 검사는 Snyk FixPR 지원에 의존하므로, FixPR 검사를 지원하지 않는 언어의 프로젝트에 대해서는 경고를 표시하지 않습니다.

1. 오픈 소스 및 라이선스 이슈를 확인하려면 다음 변경 사항을 구성하고 저장하십시오.

• 오픈 소스 보안 및 라이선스(Open Source Security & Licenses): 제안된 변경 사항에서 발견된 오픈 소스 및 라이선스 이슈가 지정된 심각도 임계값을 초과할 때 PR을 실패시키려면 이 옵션을 활성화합니다. 심각도가 임계값보다 높은 경우 PR은 메인 브랜치에 머지되지 않습니다.

• 실패 조건(Fail conditions): 보안 이슈 분포에 따라 다음 PR 실패 조건 중 하나를 선택합니다.

  • PR이 이슈가 있는 종속성을 추가할 때만 실패(Only fail when the PR is adding a dependency with issues): 보안 이슈가 있는 종속성이 하나 이상 있을 때 PR을 실패시키려면 이 조건을 설정합니다.

  • 리포지토리에 이슈가 있으면 실패(Fail if the repo has any issues): Git 리포지토리에서 발견된 모든 보안 이슈에 대해 PR을 실패시키려면 이 조건을 설정합니다.

• 높음 또는 치명적 심각도 이슈에 대해서만 실패(Only fail for high or critical severity issues): 심각도 임계값에 따라 추가 실패 조건을 선택합니다.

• 수정 가능한 이슈가 발견된 경우에만 실패(Only fail when the issues found have a fix available): Snyk에 의해 수정 가능한 새로운 취약점이 PR에 도입될 때 PR 검사가 실패하도록 이 조건을 설정합니다. Snyk이 취약점을 수정할 수 없는 경우 새로운 취약점이 도입되더라도 PR 검사가 실패하지 않습니다.

활성화하면 PR이 Snyk에 의해 수정 가능한 새로운 취약점을 도입할 때 PR 검사가 실패하게 됩니다. Snyk이 취약점을 수정할 수 없는 경우 새로운 취약점이 도입되더라도 PR 검사가 실패하지 않습니다.

1. **저장(Save)**을 클릭하여 변경 사항을 저장하거나, 저장 드롭다운을 선택하고 **재정의된 모든 프로젝트에 변경 사항 적용(Apply changes to all overridden Projects)**을 클릭하여 현재 구성을 사용자 정의 설정이 있는 프로젝트로 확장합니다. 자세한 내용은 프로젝트 수준에서 PR 검사 구성을 참조하십시오.

프로젝트 수준에서 PR 검사 구성

특정 프로젝트에 대해서만 작동하도록 PR 검사를 구성할 수 있습니다.

1. **프로젝트(Projects)**로 이동하여 프로젝트가 포함된 타겟을 확장합니다.

2. 프로젝트 이름을 클릭하여 엽니다. 프로젝트 유형에 따라 다음을 선택할 수 있습니다.

• 오픈 소스 및 라이선스 이슈를 확인하려면 package.json을 선택합니다.

• 코드의 보안 이슈를 확인하려면 **코드 분석(Code analysis)**을 선택합니다.

1. **설정(Settings)**으로 이동합니다.

2. 왼쪽에서 통합 도구를 선택합니다. 이 예시에서는 GitHub가 Snyk과 통합되었습니다.

3. 프로젝트 유형에 따라 프로젝트 설정을 구성합니다.