Snyk 코드형 인프라 액션

이 페이지는 코드형 인프라용 Snyk GitHub 액션 사용 지침 및 예시를 제공합니다. 일반적인 지침 및 정보는 Snyk 설정 및 취약점 확인을 위한 GitHub 액션을 참조하십시오.

Snyk 코드형 인프라 테스트 액션을 사용하려면 Snyk API 토큰이 있어야 합니다. Snyk 토큰 가져오기를 참조하거나 무료로 가입할 수 있습니다.

Snyk 코드형 인프라 액션을 사용하여 취약점 확인

Snyk 코드형 인프라 액션을 사용하여 다음과 같이 취약점을 확인할 수 있습니다.

name: Snyk 코드형 인프라용 예제 워크플로
on: push
jobs:
  security:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v2
      - name: Snyk을 실행하여 Kubernetes 매니페스트 파일에서 문제 확인
        uses: snyk/actions/iac@master
        env:
          SNYK_TOKEN: ${{ secrets.SNYK_TOKEN }}

Snyk 코드형 인프라 액션 속성

Snyk 코드형 인프라 액션에는 with를 사용하여 기본 이미지에 전달되는 속성이 있습니다.

속성

기본값

설명

args

Snyk 이미지에 대한 기본 인수를 재정의합니다.

command

"test"

실행할 명령을 지정합니다. 현재는 test만 지원됩니다.

file

문제가 있는 파일 스캔 경로입니다.

json

false

표준 출력 외에 결과를 snyk.json으로 저장합니다.

sarif

true

표준 출력 외에 결과를 snyk.sarif로 저장합니다.

Snyk 코드형 인프라 액션 예시

경로 지정

테스트 중에 구성 파일 및 디렉토리의 경로를 지정할 수 있습니다. 경로를 지정하지 않으면 기본적으로 전체 리포지토리가 스캔됩니다.

name: Snyk 코드형 인프라용 예제 워크플로
on: push
jobs:
  security:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v2
      - name: Snyk을 실행하여 Kubernetes 매니페스트 파일에서 문제 확인
        uses: snyk/actions/iac@master
        env:
          SNYK_TOKEN: ${{ secrets.SNYK_TOKEN }}
        with:
          file: your/kubernetes-manifest.yaml your/terraform/directory

심각도 임계값 지정

심각도가 높은 취약점만 보고하도록 선택할 수도 있습니다.

name: Snyk 코드형 인프라용 예제 워크플로
on: push
jobs:
  security:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v2
      - name: Snyk을 실행하여 Kubernetes 매니페스트 파일에서 문제 확인
        uses: snyk/actions/iac@master
        env:
          SNYK_TOKEN: ${{ secrets.SNYK_TOKEN }}
        with:
          file: your/kubernetes-manifest.yaml
          args: --severity-threshold=high

테스트 결과 공유

Snyk 플랫폼과 테스트 결과를 공유할 수 있습니다.

name: Snyk 코드형 인프라용 예제 워크플로
on: push
jobs:
  security:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v2
      - name: Snyk을 실행하여 Kubernetes 매니페스트 파일에서 문제 확인
        uses: snyk/actions/iac@master
        env:
          SNYK_TOKEN: ${{ secrets.SNYK_TOKEN }}
        with:
          args: --report

Terraform Plan에 대한 스캔 모드 지정

Terraform Plan 파일을 스캔할 때 스캔 모드를 선택할 수도 있습니다.

name: Snyk 코드형 인프라용 예제 워크플로
on: push
jobs:
  security:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v2
      - name: Snyk을 실행하여 Kubernetes 매니페스트 파일에서 문제 확인
        uses: snyk/actions/iac@master
        env:
          SNYK_TOKEN: ${{ secrets.SNYK_TOKEN }}
        with:
          args: --scan=resource-changes

Snyk 코드형 인프라 액션을 사용하여 GitHub 코드 스캔에 Snyk 스캔 결과 업로드

코드형 인프라 액션은 GitHub 코드 스캔과 통합하여 GitHub 보안 탭에 문제를 표시할 수 있습니다. 액션이 실행되면 snyk.sarif 파일이 생성되며, 이 파일은 GitHub 코드 스캔에 업로드할 수 있습니다.

name: Snyk 코드형 인프라
on: push
jobs:
  snyk:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v2
      - name: Snyk을 실행하여 구성 파일에서 보안 문제 확인
        # Snyk은 보안 문제를 감지하면 빌드를 중단하는 데 사용될 수 있습니다.
        # 이 경우 GitHub 코드 스캔에 문제를 업로드하려고 합니다.
        continue-on-error: true
        uses: snyk/actions/iac@master
        env:
          SNYK_TOKEN: ${{ secrets.SNYK_TOKEN }}
      - name: 결과를 GitHub 코드 스캔에 업로드
        uses: github/codeql-action/upload-sarif@v3
        with:
          sarif_file: snyk.sarif

비공개 리포지토리에서 upload-sarif 옵션을 사용하려면 GitHub Advanced Security가 활성화되어 있어야 합니다.

Advanced Security must be enabled for this repository to use code scanning 오류가 표시되면 GitHub Advanced Security가 활성화되어 있는지 확인하십시오. 자세한 내용은 리포지토리 보안 및 분석 설정 관리를 참조하십시오.

hashtagSnyk 코드형 인프라 액션을 사용하여 취약점 확인

hashtagSnyk 코드형 인프라 액션 속성

hashtagSnyk 코드형 인프라 액션 예시

hashtag경로 지정

hashtag심각도 임계값 지정

hashtag테스트 결과 공유

hashtagTerraform Plan에 대한 스캔 모드 지정

hashtagSnyk 코드형 인프라 액션을 사용하여 GitHub 코드 스캔에 Snyk 스캔 결과 업로드

hashtag관련 설명서