GitHub Copilot 가이드
VS Code에서 Snyk의 MCP 서버를 포함한 Snyk Studio에 액세스하여 Copilot을 통한 에이전틱(agentic) 워크플로우로 생성된 코드를 보호할 수 있습니다. 이는 여러 가지 방법으로 달성할 수 있습니다. 대부분의 사용자에게는 Snyk Security 플러그인을 사용하여 Snyk Studio에 액세스할 것을 권장합니다.
권장 사항: Snyk Security 플러그인을 사용하여 Snyk Studio에 액세스
이 링크를 클릭하여 Snyk Security 플러그인을 직접 엽니다.
Install을 클릭합니다.
초기 보안 (Secure At Inception) 활성화
설치가 완료되면, Snyk Studio의 "초기 보안(Secure at Inception)" 옵트인(opt-in)을 요청하는 모달 창이 나타납니다. 이 작업을 수행하면 AI가 생성한 모든 새로운 코드를 스캔하는 데 필요한 규칙이 자동으로 구성됩니다. 플러그인의 설정(Settings) 페이지에서 추가 변형을 사용할 수 있습니다.
Yes를 선택하면 Auto Configure Snyk Mcp Server가 활성화되고 Secure at Inception: Execution Frequency가 "On Code Generation"으로 설정됩니다. 이러한 설정은 Snyk MCP의 구성과 디렉토리 내 snyk_rules.mdc 파일의 생성을 처리합니다.
초기 보안 설정 업데이트
이전에 VS Code IDE 확장 프로그램을 설치하고 모달 창을 통해 초기 보안을 활성화하지 않은 사용자는 IDE 확장 프로그램 설정을 통해 사후에 활성화할 수 있습니다. 사용자는 또한 초기 보안 설정을 업데이트하거나 Execution Frequency를 "Manual"로 설정하여 비활성화할 수도 있습니다.
인증
실행 빈도(Execution Frequency)를 선택하면 인증 요청이 트리거됩니다. 이 프로세스에서 두 지점에서 인증할 수 있습니다.
플러그인 설치 직후
첫 번째 Snyk 코드 스캔 전
인증 흐름의 일환으로 Snyk 웹사이트에서 가입하거나 로그인하라는 메시지가 표시됩니다. 브라우저 창이 열립니다.
신규 사용자의 경우, 선호하는 가입 방법을 선택하고 다음 화면에서 약관에 동의하십시오. 인증에 성공하면 IDE로 돌아가라는 안내를 받게 됩니다.
Snyk Studio, 특히 Snyk의 SAST 스캔 기능을 사용하려면 Snyk Code를 활성화해야 합니다. Snyk Code는 코드의 취약점을 분석하고 리포지토리를 일시적으로 복제하거나 코드를 업로드합니다. 복제되거나 업로드된 코드는 Snyk의 데이터 보존 정책에 따라 캐시됩니다. Snyk 무료 플랜을 사용하면 Snyk Code는 오픈소스 프로젝트에 대해 무제한 스캔을 제공하고, 자사 코드에 대해 제한된 테스트를 제공합니다. 플랜에 대한 자세한 내용
기존 사용자의 경우, 계정과 연결된 로그인 방법을 선택하십시오. Snyk Code에 대한 액세스 권한이 없는 경우, LLM은 첫 스캔 전에 이를 활성화하라는 메시지를 표시합니다. Snyk 설정에서 직접 활성화할 수도 있습니다.
Snyk Code를 처음 활성화하는 경우, 기존 프로젝트를 제대로 스캔하려면 해당 프로젝트를 가져오거나 다시 가져와야 합니다.
Snyk Studio 실행
인증이 완료되면, LLM에 의해 새로운 코드가 생성될 때마다 Snyk Studio가 트리거되어야 합니다. Snyk Studio가 활성화되지 않은 경우 IDE를 다시 시작하고 코드를 다시 생성해 보십시오.
무료 사용자는 스캔 횟수가 제한되어 있습니다. 할당량에 도달하면 추가 임계값을 해제하기 위해 영업팀에 문의하실 것을 권장합니다.
대안: Snyk Studio 직접 설치
전제 조건
GitHub Copilot 설치
VS Code에 GitHub Copilot 확장 프로그램을 추가합니다. 자세한 내용은 공식 VS Code에서 GitHub Copilot 설정 가이드를 참조하십시오.
GitHub Copilot에 Snyk MCP 서버 설치
운영 체제 및 로컬 개발 환경에 가장 적합한 방법을 사용하여 Snyk MCP 서버를 설치하십시오.
Snyk 확장 프로그램 사용 (권장)
다음 방법 중 하나를 사용하여 확장 프로그램을 설치하십시오.
마켓플레이스에서 VS Code용 Snyk Security 확장 프로그램을 확인하고 설치합니다.
Extensions: Install Extensions 사이드 패널을 열고 Snyk Security를 검색하여 설치합니다.
VS Code는 자동으로 Snyk MCP 서버를 감지하지만, 명시적으로 활성화해야 합니다.
다음 방법 중 하나를 사용하여 Snyk MCP 서버를 활성화하십시오.
macOS에서 CMD + SHIFT + P, Windows에서 CTRL + SHIFT + P를 눌러 명령 팔레트를 열고, MCP: List Servers를 선택한 다음 목록에서 Snyk MCP 서버를 찾아 모든 도구를 활성화합니다.
GitHub Copilot 채팅창에서 Tools 아이콘을 클릭합니다.
모든 MCP 서버와 해당 도구 목록을 볼 수 있습니다. 목록에서 Snyk을 찾아 모든 도구를 활성화하십시오. 
Node.js 및 npx로 설치
npx로 설치프로젝트의 루트 디렉토리에 MCP 구성 파일 .vscode/mcp.json을 생성하거나 편집합니다.
환경에 Node.js npx 실행 파일이 설치되어 있는 경우, 파일에 다음 JSON 스니펫을 추가합니다.
사전 설치된 Snyk CLI로 설치
프로젝트의 루트 디렉토리에 MCP 구성 파일 .vscode/mcp.json을 생성하거나 편집합니다.
시스템 경로에 Snyk CLI가 설치되어 있고 액세스 가능한 경우, 파일에 다음 JSON 스니펫을 포함하십시오. Snyk 실행 파일 CLI의 전체 경로를 지정해야 할 수도 있습니다.
snyk 명령을 사용할 수 없는 경우, Snyk CLI 설치 또는 업데이트 페이지의 지침에 따라 추가하십시오.
다음 예시는 성공적으로 구성되고 시작된 Snyk MCP 서버를 보여줍니다.
VS Code의 추가 MCP 구성 옵션 및 문제 해결에 대해서는 공식 VS Code MCP 서버 문서를 참조하십시오.
Snyk MCP 서버 설정
일회성 설정으로, 프로젝트 디렉토리를 인증하고 신뢰해야 할 수 있습니다. 필요한 경우 에이전틱 워크플로우가 이를 자동으로 관리할 가능성이 높습니다.
이러한 워크플로우는 대부분 기본 모델과 에이전틱 코드 어시스턴트에 의해 자동으로 실행되며, 브라우저 확인 대화 상자를 사용하여 이를 승인해야 합니다. 프로세스는 다음과 유사해야 합니다.
현재 디렉토리를 인증하고 신뢰해야 하는 경우, 프로세스를 진행하고 완료하십시오.
예시
보안 취약점 스캔
채팅에서 특정 파일이나 함수를 태그하고 Copilot에게 프로덕션 배포를 위해 코드를 스캔하도록 요청할 수 있습니다.
Copilot은 이 요청이 보안 취약점 스캔과 관련이 있음을 나타내고 다양한 스캔을 위해 Snyk MCP 서버를 호출합니다.
그런 다음 Copilot은 코드(SAST) 및 종속성(SCA)에 대한 모든 보안 스캔 결과를 수집할 수 있으며, Snyk MCP 서버가 제공하는 권장 사항과 컨텍스트 정보를 기반으로 발견된 보안 취약점 중 일부 또는 전부를 해결하는 코드 변경 사항을 제공할 수 있습니다.
"초기 보안(Secure at inception)" 규칙
초기 보안을 실천하기 위해, Snyk은 안전한 코드 생성 및 워크플로우를 위해 LLM을 정렬하는 규칙을 채택할 것을 권장합니다.
다음은 GitHub Copilot 사용자 정의 지침을 위한 권장 지침입니다. .github/copilot-instructions.md에 있는 규칙 파일에 다음 내용을 추가하십시오.
Last updated