Sysdig와 통합

워크로드 정보 감지 기능을 향상시키기 위해 Snyk은 Sysdig와 협력했습니다. 이 통합은 Sysdig가 제공하는 런타임 데이터로 Snyk이 감지하는 워크로드 이슈를 풍부하게 합니다.

Sysdig 통합 활성화

Sysdig와 성공적으로 통합하려면 Snyk 컨트롤러는 snyk-monitor 네임스페이스에 추가 Sysdig Secret이 필요합니다. Sysdig Secret 이름은 snyk-sysdig-secret입니다.

snyk-monitor 네임스페이스에 snyk-sysdig-secret을 생성합니다:

kubectl create secret generic snyk-sysdig-secret -n snyk-monitor \
  --from-literal=token=$SYSDIG_RISK_SPOTLIGHT_TOKEN \
  --from-literal=endpoint=$SYSDIG_ENDPOINT_URL \
  --from-literal=cluster=$SYSDIG_AGENT_CLUSTER

SYSDIG_RISK_SPOTLIGHT_TOKEN은 "Risk Spotlight Integrations Token"이며 Sysdig UI를 통해 생성되어야 합니다. 이 API 토큰을 생성하려면Sysdig Risk Spotlight 가이드를 참조하십시오.

SYSDIG_ENDPOINT_URL은 Sysdig SaaS 애플리케이션 및 리전과 연결됩니다. 이를 식별하려면 SaaS Regions and IP Ranges를 참조하십시오. 예를 들어 US West (Oregon)의 경우 도메인은 us2.app.sysdig.com입니다 (접두사 "https://"는 생략해야 합니다).

SYSDIG_AGENT_CLUSTER는 Sysdig 에이전트 설치 시 구성한 것입니다 - global.clusterConfig.name.

Snyk이 Sysdig와 통합하여 런타임에 실행되는 패키지에 대한 정보를 수집할 수 있도록 하려면 Snyk 컨트롤러 설치 시 --set sysdig.enabled=true를 사용하십시오:

helm upgrade --install snyk-monitor snyk-charts/snyk-monitor \
  --namespace snyk-monitor \
  --set clusterName="Production cluster" \
  --set sysdig.enabled=true

이제 Snyk 컨트롤러는 30분마다 Sysdig에서 데이터를 수집합니다.

Snyk 취약점 데이터 및 우선순위 점수 향상

Snyk은 감지하는 취약점의 우선순위 점수를 향상시키기 위해 런타임에 실행되는 패키지를 사용합니다. 이를 통해 Snyk은 어떤 취약점을 먼저 수정해야 할지 더 잘 우선순위를 지정할 수 있습니다. 우선순위 점수는 프로젝트(Project) 페이지와 Snyk 공용 API 모두에서 사용할 수 있습니다.

런타임에 실행된 패키지를 확인하려면 다음 일일 스캔을 기다리거나 워크로드를 Snyk으로 수동으로 가져와야 합니다.

Sysdig 통합을 활성화한 후 워크로드를 수동으로 가져오기 전에 30분을 기다리십시오. 이는 실행된 패키지 수집과 관련된 다음 타이밍 고려 사항 때문입니다:

• Snyk 컨트롤러는 30분마다 실행된 패키지에 대한 데이터를 수집합니다.

• Snyk은 새로운 취약점에 대해 가져온 Kubernetes 프로젝트를 매일 다시 스캔합니다.

애플리케이션 지원

애플리케이션 취약점의 경우 Snyk은 현재 다음 언어를 지원합니다:

• Java

• JavaScript

• Go

지원되는 언어의 업데이트된 목록을 보려면 컨테이너 이미지에서 애플리케이션 취약점 감지를 참조하십시오.