Bitbucket Cloud

Bitbucket Cloud API 토큰 통합을 통해 다음을 수행할 수 있습니다.

• 통합된 모든 리포지토리에서 지속적으로 보안 스캔 수행

• 오픈소스 구성 요소의 취약점 탐지

• 자동 수정 및 업그레이드 제공

Bitbucket Cloud 통합 설정 방법

1. Snyk에 Bitbucket 계정에 대한 액세스 권한을 부여하려면 Bitbucket에서 관리자 권한으로 전용 서비스 계정을 설정하십시오. 작업 공간에 사용자 추가에 대한 자세한 내용은 Bitbucket 설명서를 참조하십시오. 새로 생성된 사용자는 Snyk으로 모니터링해야 하는 모든 리포지토리에 대한 관리자 권한이 있어야 합니다.

2. Snyk에서 통합 페이지로 이동하여 Bitbucket Cloud 카드를 열고 계정 자격 증명을 구성합니다.

3. BitBucket에서 개인 설정 아래에서 Atlassian 계정 설정 > 보안 탭 > API 토큰 생성 및 관리를 선택합니다.

4. 다음 권한으로 계정을 설정하는 Bitbucket 절차를 따르십시오.

   • read:user:bitbucket

   • read:workspace:bitbucket

   • read:repository:bitbucket

   절차에 대한 자세한 내용은 Bitbucket 설명서를 참조하십시오.

5. 생성한 Bitbucket 계정의 이메일 및 API 키를 입력하고 변경 사항을 저장합니다. Bitbucket 개인 설정에서 이메일을 찾을 수 있습니다. Snyk이 Bitbucket Cloud 계정에 연결됩니다. 연결에 성공하면 "Bitbucket Cloud 설정이 성공적으로 업데이트되었습니다"라는 확인 메시지가 나타납니다.

Snyk에 Bitbucket 리포지토리를 추가하는 방법

Snyk을 Bitbucket Cloud 계정에 연결한 후 Snyk이 모니터링할 리포지토리를 선택할 수 있습니다.

1. Snyk에서 통합 > Bitbucket Cloud 카드로 이동하여 Snyk에 Bitbucket Cloud 리포지토리 추가를 클릭하여 Snyk으로 리포지토리 가져오기를 시작합니다.

2. Snyk으로 가져올 리포지토리를 선택하고 선택한 리포지토리 추가를 클릭합니다.

선택한 리포지토리를 추가하면 Snyk은 전체 디렉토리 트리에서 종속성 파일(예: package.json, pom.xml 등)을 스캔하고 Snyk에 프로젝트로 가져옵니다.

가져온 프로젝트는 프로젝트 페이지에 나타나며 지속적으로 취약점을 확인합니다.

Bitbucket 통합 기능

통합이 완료되면 다음과 같은 기능을 사용할 수 있습니다.

• 프로젝트 수준 보안 보고서

• 프로젝트 모니터링 및 자동 수정 풀 리퀘스트

• 풀 리퀘스트 테스트

프로젝트 수준 보안 보고서

Snyk은 리포지토리에서 발견된 취약점을 탐색하고 필요한 업그레이드 또는 패치로 리포지토리에 직접 수정 풀 리퀘스트를 열어 즉시 수정할 수 있는 고급 보안 보고서를 생성합니다.

다음 예는 프로젝트 수준 보안 보고서를 보여줍니다.

프로젝트 모니터링 및 자동 수정 풀 리퀘스트

Snyk은 매일 또는 매주 프로젝트를 스캔합니다. 새로운 취약점이 발견되면 Snyk은 이메일로 알리고 리포지토리에 대한 수정 사항이 포함된 자동 풀 리퀘스트를 엽니다.

다음 예는 Snyk이 연 수정 풀 리퀘스트를 보여줍니다.

자동 수정 풀 리퀘스트 설정을 검토하고 조정하려면 다음을 수행하십시오.

1. Snyk에서 조직 설정 > 통합 > 소스 제어 > Bitbucket Cloud로 이동하여 설정 편집을 클릭합니다.

2. 자동 수정 PR 섹션으로 스크롤하여 관련 옵션을 구성합니다.

풀 리퀘스트 테스트

Snyk은 리포지토리에서 새로 생성된 모든 풀 리퀘스트에 대해 보안 취약점을 테스트하고 빌드 확인을 Bitbucket Cloud로 보냅니다. Bitbucket Cloud에서 직접 풀 리퀘스트가 새로운 보안 문제를 도입하는지 여부를 확인할 수 있습니다.

다음 예는 Bitbucket Cloud 풀 리퀘스트 페이지의 Snyk 풀 리퀘스트 빌드 확인을 보여줍니다.

풀 리퀘스트 테스트 설정을 검토하고 조정하려면 다음을 수행하십시오.

1. Snyk에서 조직 설정 > 통합 > 소스 제어 > Bitbucket Cloud로 이동하여 설정 편집을 클릭합니다.

2. 풀 리퀘스트에 대한 기본 Snyk 테스트 > 오픈소스 보안 및 라이선스로 스크롤하여 관련 옵션을 구성합니다.

Bitbucket Cloud 통합에 필요한 권한 범위

수동으로 트리거하든 자동으로 트리거하든 모든 작업은 통합 설정에 토큰(API 토큰)이 구성된 Bitbucket Cloud 서비스 계정에 대해 수행됩니다.

Snyk이 정기적으로 매니페스트 파일을 읽고 수정 또는 업그레이드 PR을 여는 등 모니터링되는 리포지토리에서 필요한 작업을 수행하려면 통합된 Bitbucket Cloud 서비스 계정에 가져온 리포지토리에 대한 관리자 권한이 필요합니다.

필요한 권한 범위에 대한 자세한 내용은 Bitbucket 권한 요구 사항을 참조하십시오.

Snyk과 Bitbucket Cloud 연결을 끊는 방법

이 통합을 연결 해제하려면 조직 설정 > 통합에서 다음을 수행하십시오.

1. 통합 목록에서 비활성화하려는 Bitbucket 통합을 선택하고 설정 편집을 클릭하여 통합의 현재 상태가 표시된 페이지를 엽니다.

   이 페이지에는 자격 증명, API 키, 서비스 주체 또는 연결 세부 정보를 관리할 수 있는 각 통합에 특정한 섹션이 포함되어 있습니다.

2. 관련 섹션으로 스크롤하여 연결 끊기를 클릭합니다.

Bitbucket Cloud 앱으로 마이그레이션

이 섹션에서는 Snyk에 Bitbucket Cloud로 표시된 기존 Bitbucket Cloud API 토큰 통합을 Bitbucket Cloud 앱 통합으로 마이그레이션하는 방법을 설명합니다.

새 앱 통합으로 마이그레이션하려면 이전에 가져온 모든 프로젝트를 Snyk에서 제거하고 API 토큰과 해당 프로젝트를 삭제한 다음 새 앱 통합을 설정하고 새 통합에서 Snyk으로 프로젝트를 다시 가져와야 합니다.

마이그레이션 프로세스

마이그레이션 프로세스에는 다음 단계가 포함됩니다.

1. Snyk에서 Bitbucket Cloud API 토큰 통합에 연결된 기존 프로젝트 삭제.

2. Snyk에서 PAT 통합 연결 해제.

3. Bitbucket에서 PAT 통합에 대한 자사 확장 제거(선택 사항). 이 단계는 PAT 통합 연결 해제 섹션에 설명되어 있습니다.

4. Bitbucket Cloud 앱 연결 및 프로젝트 가져오기.

기존 프로젝트 삭제

레거시 통합에서 이전에 가져온 Snyk의 모든 기존 프로젝트를 삭제합니다. 프로젝트 페이지에서 대량 삭제 작업을 사용하려면 그룹화 필터를 없음으로 그룹화로 변경합니다. 이제 목록에서 여러 프로젝트를 개별적으로 선택하거나 상단의 확인란을 선택하여 표시된 모든 프로젝트를 선택할 수 있습니다. 프로젝트를 삭제하려면 휴지통 아이콘 선택한 프로젝트 삭제를 선택합니다.

PAT 통합 연결 해제

Bitbucket Cloud PAT 통합을 연결 해제하려면 Bitbucket Cloud 통합의 설정 페이지로 이동하여 관련 섹션으로 스크롤한 다음 연결 해제를 클릭합니다.

Bitbucket Cloud에서 PAT 통합에 대한 Snyk 탭 제거(선택 사항)

Bitbucket Cloud 통합에는 선택적인 자사 인터페이스 앱이 있습니다.

이 앱은 Bitbucket Cloud 작업 공간에 설치하여 PAT 통합을 자사 인터페이스("Snyk" 탭)로 보강할 수 있습니다.

이 앱을 사용한 경우 다음 단계에서 Snyk Bitbucket Cloud 앱을 설정하기 전에 Bitbucket Cloud에서 이전 인터페이스 앱을 제거하십시오. 이 기능은 Snyk 앱 통합에서 기본적으로 지원됩니다.

Bitbucket.org > 설치된 앱 관리의 작업 공간 설정 페이지로 이동하여 Snyk Security for Bitbucket Cloud 앱을 확장하고 제거를 클릭합니다.

Bitbucket Cloud 앱 통합 설정

Bitbucket Cloud 앱 통합 항목의 지침을 참조하십시오.