IaC 무시를 위한 .snyk 정책 파일 사용

Snyk CLI iac test 명령을 사용하여 IaC 구성 파일을 스캔할 때 관련 없는 문제를 .snyk 정책 파일을 사용하여 무시할 수 있습니다. Snyk은 .snyk 파일을 IaC 구성 파일을 저장하는 작업 디렉토리의 루트에 저장하고 버전 관리할 것을 권장합니다. 이 파일은 snyk ignore 명령으로 생성할 수 있습니다. 자세한 내용은 Snyk CLI를 사용하여 취약점 무시를 참조하십시오.

경로 무시

Snyk CLI를 사용하여 실행되는 테스트의 경우 .snyk 파일에 정의된 문제만 무시됩니다.

가져온 Git 리포지토리에서 실행되는 테스트의 경우 Snyk UI에서 문제를 무시할 수 있습니다. 이러한 무시는 Snyk UI를 사용하여 수행되는 스캔에만 적용됩니다.

.snyk 파일의 무시와 Snyk UI에서 생성된 무시는 동기화되지 않습니다.

`.snyk` 파일 시맨틱스

.snyk 파일에는 IaC 프로젝트에 대한 몇 가지 제한 사항이 있습니다. 표준 기능에 대한 자세한 내용은 .snyk 파일을 참조하십시오.

패치 섹션은 아직 지원되지 않으며 무시됩니다.
IaC에서 지원되는 언어 설정은 없습니다. 이 섹션은 무시됩니다.

snyk iac test를 디렉토리에 대해 실행할 때, 하나 이상의 디렉토리를 전달하거나 현재 작업 디렉토리의 기본 인수를 사용하여 Snyk CLI는 해당 각 디렉토리에서 .snyk라는 파일을 찾습니다.

정책 파일의 구문은 다음과 같습니다.

version: v1.19.0
ignore:
  SNYK-CC-K8S-1:
    - '*':
        reason: None Given
        expires: 2021-08-26T08:40:35.249Z
        created: 2021-07-27T08:40:35.251Z

* 객체 키는 CLI가 SNYK-CC-K8S-1 취약점의 모든 인스턴스를 무시하도록 합니다. IaC 문제 ID로 키가 지정된 여러 항목을 추가하여 여러 취약점을 무시할 수 있습니다.

단일 파일 무시

무시 규칙의 범위는 더 좁게 지정할 수 있습니다. 무시 범위를 단일 파일로 지정하려면 *를 .snyk 정책 파일이 포함된 테스트되는 디렉토리에 대한 상대 경로인 단일 파일의 경로로 변경합니다.

범위가 지정된 무시 규칙은 Snyk CLI에서 ignore 명령을 사용하거나 .snyk 파일을 수동으로 수정하여 지정할 수 있습니다.

다음 예시에서는 SNYK-CC-K8S-1 ID가 있는 문제가 다음 두 특정 파일에서 무시됩니다.

staging/deployment.yaml
staging/cronjob.yaml

Snyk CLI로 다음 명령을 실행하여 범위가 지정된 무시 규칙을 생성할 수 있습니다.

snyk ignore --id=SNYK-CC-K8S-1 --path='staging/cronjob.yaml > *'
snyk ignore --id=SNYK-CC-K8S-1 --path='staging/deployment.yaml > *'

또는 .snyk 정책 파일을 다음과 같이 수동으로 수정할 수 있습니다.

version: v1.19.0
ignore:
  SNYK-CC-K8S-1:
    - 'staging/deployment.yaml > *':
        reason: None Given
        expires: 2021-08-26T08:40:35.249Z
        created: 2021-07-27T08:40:35.251Z
  - 'staging/cronjob.yaml > *':
        reason: None Given
        expires: 2021-08-26T08:40:35.249Z
        created: 2021-07-27T08:40:35.251Z

Snyk CLI ignore 명령에 대한 자세한 내용은 Snyk CLI를 사용하여 취약점 무시를 참조하십시오.

취약점 인스턴스 무시

파일 내의 개별 취약점 인스턴스를 무시할 수 있습니다. 이렇게 하려면 snyk iac test의 출력에서 "리소스 경로"를 가져와 파일 경로에 추가합니다.

예를 들어 다음 출력 스니펫(가독성을 위해 줄 바꿈 추가)에서:

production/deployment.yaml 테스트 중...코드형 인프라 문제:
  ✗ 컨테이너가 특권 모드에서 실행 중입니다 [높은 심각도] [SNYK-CC-K8S-1] Deployment에서
    리소스 > azurerm_virtual_machine[my_terraformvm] > os_profile_windows_config > provision_vm_agent에 의해 도입됨

다음 명령을 실행하여 Snyk CLI로 범위가 지정된 무시 규칙을 생성할 수 있습니다.

 snyk ignore --id=SNYK-CC-K8S-1 --path='production/deployment.yaml > [DocId:1] > spec > template > spec > containers[web] 
 > securityContext > privileged'

또는 정책 파일을 다음과 같이 수동으로 수정할 수 있습니다.

version: v1.19.0
ignore:
  SNYK-CC-K8S-1:
    - 'production/deployment.yaml > [DocId:1] > spec > template > spec > containers[web] > securityContext > privileged':
        reason: None Given
        expires: 2021-08-26T08:40:35.249Z
        created: 2021-07-27T08:40:35.251Z

Snyk CLI ignore 명령에 대한 자세한 내용은 Snyk CLI를 사용하여 취약점 무시를 참조하십시오.

정책 플래그 및 정책 파일 참고 사항

각 테스트에 대해 두 개 이상의 .snyk 정책 파일을 가질 수 없습니다. 예를 들어 snyk iac test dir1/ dir2/ 명령은 dir1/.snyk 및 dir2/.snyk를 로드하지만 dir1/foo/bar/.snyk 파일이 존재하면 CLI는 이를 로드하지 않습니다.

snyk iac test를 실행할 때 CLI는 $PWD/.snyk를 로드합니다. 일반적인 패턴 중 하나는 리포지토리 루트에 리포지토리당 하나의 .snyk 정책 파일을 사용하는 것입니다.

CLI는 .snyk 정책 파일의 위치를 재정의하는 --policy-path=... 옵션을 허용합니다. 경로는 .snyk라는 파일이 포함된 디렉토리이거나 .snyk라는 파일의 경로일 수 있습니다. 정책 파일의 이름은 .snyk여야 합니다.

snyk iac test의 인수가 디렉토리가 아닌 파일인 경우 정책은 자동으로 로드되지 않습니다. 이 경우 정책을 로드하려면 --policy-path를 지정해야 합니다.

CLI는 ignore-policy 옵션을 허용하며, 이 옵션을 사용하면 발견된 모든 .snyk 정책 파일이 무시됩니다.

PreviousSnyk 웹 UI와 CLI 결과 공유 Next명령줄을 사용한 IaC 제외

Last updated 11 days ago

hashtag경로 무시

hashtag.snyk 파일 시맨틱스

hashtag단일 파일 무시

hashtag취약점 인스턴스 무시

hashtag정책 플래그 및 정책 파일 참고 사항

경로 무시

`.snyk` 파일 시맨틱스

단일 파일 무시

취약점 인스턴스 무시

정책 플래그 및 정책 파일 참고 사항