Devin 가이드
Devin에서 Snyk의 MCP 서버를 포함한 Snyk Studio에 액세스하여 LLM을 통한 에이전틱(agentic) 워크플로우로 생성된 코드를 보호할 수 있습니다. 이는 여러 가지 방법으로 달성할 수 있습니다. 처음 사용하는 경우, MCP 서버는 신뢰를 요청하고 필요한 경우 인증을 트리거합니다.
전제 조건
Devin 시작하기
AI 소프트웨어 엔지니어를 사용하기 위해 Devin.ai로 이동하십시오.
Devin에 Snyk MCP 서버 설치
Settings > Organization settings > MCP marketplace > Add your own으로 이동하여 Snyk MCP 서버를 설치합니다.
Snyk MCP 서버를 실행하는 명령은 npx -y snyk@latest mcp -t stdio입니다. 아래 스크린샷에 표시된 대로 STDIO Configuration 섹션의 Devin 구성에 이 명령을 추가하십시오.
Add a new secret을 선택하고 API 토큰을 추가합니다. 자세한 내용은 개인 토큰을 획득하는 방법을 참조하십시오. Secret Name 및 Environment Variable 이름으로 반드시 SNYK_TOKEN을 사용해야 합니다.
SNYK_TOKEN Secret은 안전하게 저장되며 $SNYK_TOKEN으로 참조됩니다. Environment Variables 섹션에 Snyk 토큰 전체를 넣지 마십시오.
마지막으로, 아래 그림과 같이 명령에 --disable-trust 인수를 선택적으로 추가할 수 있습니다.
Snyk MCP 서버에는 신뢰할 수 없는 코드에서 Snyk을 실행하는 것으로부터 사용자를 보호하는 폴더 신뢰 메커니즘이 포함되어 있습니다. 자세한 내용은 Visual Studio 작업 공간 신뢰를 참조하십시오. 이 옵션이 없으면, Snyk MCP 서버는 Snyk이 스캔하려는 폴더 경로를 사용자가 신뢰하도록 요청하는 브라우저 창을 엽니다. Devin은 내장된 웹 브라우저를 사용하여 이 프로세스를 자동으로 완료하므로, 이 프로세스를 건너뛰기 위해 --disable-trust를 추가할 수 있습니다.
예시
보안 취약점 스캔
채팅에서 특정 파일이나 함수를 태그하고 Devin에게 프로덕션 배포를 위해 코드를 스캔하도록 요청할 수 있습니다.
Devin은 이 요청이 보안 취약점 스캔과 관련이 있음을 나타내고 다양한 스캔을 위해 Snyk MCP 서버를 호출합니다.
Devin은 코드(SAST) 및 종속성(SCA)에 대한 모든 보안 스캔 결과를 수집할 수 있으며, Snyk MCP 서버가 제공하는 권장 사항과 컨텍스트 정보를 기반으로 발견된 보안 취약점 중 일부 또는 전부를 해결하는 코드 변경 사항을 제공할 수 있습니다.
"초기 보안(Secure at inception)" 규칙
초기 보안을 실천하기 위해, Snyk은 안전한 코드 생성 및 워크플로우를 위해 LLM을 정렬하는 규칙을 채택할 것을 권장합니다. 규칙은 Devin Knowledge에 추가할 수 있습니다.
다음은 Devin Knowledge를 위한 권장 지침입니다.
Last updated