Snyk Code를 처음 활성화하는 경우, 기존 프로젝트를 제대로 스캔하려면 해당 프로젝트를 가져와야 합니다.
일회성 설정으로, 프로젝트 디렉토리를 인증하고 신뢰하십시오. 필요한 경우 에이전틱 워크플로우가 이를 자동으로 관리할 가능성이 높습니다.
신규 사용자의 경우, 선호하는 가입 방법을 선택하고 다음 화면에서 약관에 동의하십시오. 인증 후 Terminal/IDE로 돌아가십시오.
Snyk Studio, 특히 SAST 스캔 기능을 사용하려면 Snyk Code를 활성화해야 합니다.
Snyk Code는 코드의 취약점을 분석하고 리포지토리를 일시적으로 복제하며 코드를 업로드합니다. 복제되거나 업로드된 코드는 Snyk 데이터 보존 정책에 따라 캐시됩니다.
Snyk 무료 플랜을 사용하면 Snyk Code는 오픈소스 프로젝트에 대해 무제한 스캔을 제공하고, 자사 코드에 대해 제한된 테스트를 제공합니다. 사용 가능한 플랜에 대해 자세히 알아보려면 플랜 및 가격을 방문하십시오.
기존 사용자의 경우, 계정과 연결된 로그인 방법을 선택하십시오. Snyk Code에 대한 액세스 권한이 없는 경우, LLM은 첫 스캔 전에 이를 활성화하라는 메시지를 표시합니다. Snyk 설정에서 직접 활성화할 수도 있습니다. 자세한 내용은 Snyk Code 활성화를 참조하십시오.
Snyk Studio 실행
인증이 완료되면, LLM에 의해 새로운 코드가 생성될 때마다 Snyk Studio가 트리거됩니다. Snyk Studio가 활성화되지 않은 경우 Terminal 또는 IDE를 다시 시작하고 코드를 다시 생성해 보십시오.
무료 사용자는 스캔 횟수가 제한되어 있습니다. 할당량에 도달하면 추가 임계값을 해제하기 위해 Snyk 영업팀에 문의하실 것을 권장합니다.
Snyk MCP 서버 설정
일회성 설정으로, 현재 프로젝트 디렉토리를 신뢰해야 합니다. 필요한 경우 에이전틱 워크플로우가 이를 자동으로 관리합니다.
이러한 워크플로우는 기본 모델과 에이전틱 코드 어시스턴트에 의해 자동으로 실행되며, Droid 제품에서 이를 승인해야 합니다.
예시
보안 취약점 스캔
채팅에서 특정 파일이나 함수를 태그하고 Factory에게 안전한 프로덕션 배포를 위해 코드를 스캔하도록 요청할 수 있습니다.
Factory는 이 요청이 보안 취약점 스캔과 관련이 있음을 나타내고 다양한 스캔을 위해 Snyk MCP 서버를 호출합니다.
그러면 Factory는 코드(SAST) 및 종속성(SCA)에 대한 모든 보안 스캔 결과를 수집할 수 있으며, Snyk MCP 서버가 제공하는 권장 사항과 컨텍스트 정보를 기반으로 발견된 보안 취약점 중 일부 또는 전부를 해결하는 코드 변경 사항을 제공할 수 있습니다.
"초기 보안(Secure at inception)" 규칙
초기 보안을 실천하기 위해, Snyk은 안전한 코드 생성 및 워크플로우를 위해 LLM을 정렬하는 규칙을 채택할 것을 권장합니다.
다음은 Factory AGENTS.md를 위한 권장 지침입니다. AGENTS.md에 있는 규칙 파일에 다음 내용을 추가하십시오.
---
alwaysApply: true
always_on: true
trigger: always_on
applyTo: "**"
description: Snyk Security At Inception
---
# 프로젝트 보안 모범 사례
- Snyk이 지원하는 언어로 생성된 새로운 자사 코드에 대해서는 항상 **snyk_code_scan** 도구를 실행하십시오.
- 새로 도입되거나 수정된 코드 또는 종속성에 기반하여 보안 이슈가 발견되면, **Snyk**의 결과 컨텍스트를 사용하여 이슈 수정을 시도하십시오.
- 이슈를 수정한 후 코드를 다시 스캔하여 이슈가 해결되었는지, 그리고 새로 도입된 이슈가 없는지 확인하십시오.
- 새로운 이슈가 발견되지 않을 때까지 이 과정을 반복하십시오.
