Snyk Orb를 사용하는 CircleCI 통합
Snyk Orb 구현
CircleCI 통합 작동 방식
스캔
모니터링
CircleCI 통합 구현을 위한 전제 조건
CircleCI 레지스트리에서 Snyk Orb 세부 정보 가져오기
Last updated
Snyk은 Snyk Orb를 사용하여 CircleCI와 통합하여 CI/CD 워크플로의 일부로 애플리케이션 종속성 및 Docker 이미지의 오픈소스 보안 취약점을 원활하게 스캔합니다.
CircleCI를 사용하면 구성 파일에 추가할 수 있는 미리 만들어진 명령 그룹(Orbs)을 사용하여 CI/CD 워크플로를 쉽게 만들 수 있습니다.
Snyk Orb를 사용하면 구성에 따라 오픈소스 취약점을 테스트하고 모니터링하기 위해 Snyk 스캔을 CI/CD에 빠르게 추가할 수 있습니다. 결과는 CircleCI 출력 보기에 표시되며 snyk.io에서도 모니터링할 수 있습니다.
Snyk Orb에 대한 다음 정보를 참조하여 구현에서 Snyk을 통한 그린 빌드에 이르기까지 CircleCI를 시작하십시오.
Snyk Circle CI README - 매개변수 목록 및 샘플을 포함하여 Snyk으로 CI/CD를 설정하는 데 필요한 모든 정보가 포함되어 있습니다.
CI/CD 파이프라인에 애플리케이션 및 이미지 스캔 추가 (Circle CI 튜토리얼) - Snyk Orb로 보안 파이프라인을 설정하는 방법을 설명합니다.
CircleCI에 프로젝트를 추가하고 구성 파일에 Snyk Orb를 추가한 후 빌드가 실행될 때마다 Snyk Orb도 사용되며 다음 작업을 수행합니다.
앱 종속성 또는 컨테이너 이미지의 취약점 또는 오픈소스 라이선스 문제를 스캔하고 취약점 및 문제를 나열합니다.
Snyk이 취약점을 발견하면 구성에 따라 다음 중 하나를 수행합니다.
빌드 실패.
빌드 완료 허용.
선택 사항으로, 빌드가 성공적으로 완료되고 Snyk 단계에서 MONITOR가 True로 설정되면 Snyk은 Snyk 웹 UI에서 프로젝트 종속성 스냅샷을 저장합니다. Snyk 웹 UI에서 모든 문제가 있는 종속성 트리를 보고 기존 앱 버전에서 새로운 문제가 발견되면 알림을 받을 수 있습니다.
Snyk 계정을 만들고 계정 설정에서 Snyk API 토큰을 검색하십시오.
관련 리포지토리를 CircleCI로 가져옵니다.
설정 -> 보안 -> Orb 보안 설정으로 이동하여 타사 Orb 옵트인이 허용되었는지 확인하십시오.
구성(config.yml) 파일이 버전 2.1을 따르는지 확인하십시오.
Snyk PAT 또는 API 토큰을 SNYK_TOKEN으로 포함하여 CircleCI에 필요한 환경 변수를 추가하십시오.
Orbs 레지스트리에서 CircleCI는 다음 이미지의 목록과 유사하게 사용자 정의된 사용 가능한 Orbs 목록을 직접 표시합니다.
이 목록에서 관련 Snyk 줄을 찾아 클릭하여 예제, 매개변수 및 값이 포함된 Snyk Orb 정보를 확인합니다.
목록에서 최신 버전의 Snyk orb를 사용하십시오.
Last updated