자산 인벤토리 구성 요소

각 인벤토리 탭은 테이블 형식으로 제공되며, 사용 가능한 주요 속성에 대한 세부 정보를 제공합니다.

• 자산 (Assets)

• 이슈 (Issues)

• 커버리지 제어 (Coverage Controls)

• 태그 (Tags)

• 레이블 (Labels)

• 개발자 (Developers)

• 클래스 (Class)

• 리스크 요인 (Risk factors)

• 소스 (Source)

• SCM 리포지토리 최신성 (SCM Repository freshness)

• 클러스터 (Clusters)

• 조직 (Organizations)

• 가시성 (Visibility)

자산 (Asset)

Snyk Essentials의 자산(Assets)은 애플리케이션 SDLC의 의미 있는 실제 구성 요소입니다. 다음 자산 유형을 사용할 수 있습니다.

• 리포지토리 자산 과금 대상

• 컨테이너 이미지 과금 대상

• 패키지 (Packages)

• 스캔된 아티팩트 (Scanned artifacts)

자산은 여러 항목의 상위 항목이 될 수 있습니다. 예를 들어, 리포지토리 자산은 일반적으로 하나 이상의 패키지 자산을 포함합니다.

Asset 열에는 리포지토리 자산, 패키지, 스캔된 아티팩트 또는 컨테이너 이미지의 이름이 포함됩니다. 상위 자산 이름 옆의 화살표를 클릭하여 포함된 모든 항목의 목록을 확장합니다.

자산 이름을 복사하거나 리포지토리를 탐색할 수 있습니다. 각 자산 행 끝에는 메뉴가 있습니다. 메뉴를 클릭한 다음 Copy를 선택하여 URL을 복사하거나 Browse를 선택하여 자산 리포지토리로 이동합니다.

리포지토리 자산 (Repository assets)

리포지토리 자산은 SCM 리포지토리를 나타냅니다. 리포지토리 자산은 SCM 통합이 구성된 경우 SCM에서 직접 리포지토리를 검색하여 생성됩니다. 또는 스캔된 코드가 특정 리포지토리와 식별되는 한 (Snyk에서는 gitRemoteURL 파라미터를 채우는 것을 의미함), Snyk 또는 타사 도구에 의해 리포지토리를 스캔하여 리포지토리 자산을 생성할 수 있습니다.

리포지토리와 연결하지 않고 CLI를 사용하여 로컬에서 코드를 스캔하는 경우 리포지토리 자산이 생성되지 않습니다. CLI 명령에 대한 자세한 내용은 스캔 방법을 참조하십시오.

컨테이너 이미지 자산 (Container Image assets)

이미지 ID를 기반으로 컨테이너 이미지를 식별할 수 있습니다. 여러 컨테이너 이미지의 이미지 ID가 동일한 경우, 해당 이미지 ID에 대해 하나의 이미지 자산만 생성되며, 해당 ID에 대해 식별된 모든 컨테이너 이미지의 정보로 보강됩니다.

Snyk Essentials는 Snyk Container에서 모든 이미지 자산을 가져옵니다. 최신 이미지를 스캔하려면 이미지를 다시 가져오십시오. 이미지 자산이 포함된 프로젝트에서 새 스캔을 실행하면 동일한 이미지를 다시 스캔하여 새로운 취약점을 찾습니다. 새로운 이미지 자산을 식별하려면 먼저 다시 가져온 다음 프로젝트를 스캔해야 합니다. 자세한 내용은 컨테이너 이미지의 애플리케이션 취약점 감지 페이지를 참조하십시오.

패키지 (Packages)

Snyk Essentials의 패키지는 패키지 관리 시스템에 의해 관리되는 소프트웨어 또는 라이브러리로 정의됩니다.

패키지 자산은 패키지 관리 시스템을 통해 또는 Snyk CLI를 사용하여 프로젝트의 종속성을 스캔할 때 생성됩니다. 이를 통해 Snyk Essentials는 프로젝트 내에서 사용되는 패키지의 보안 취약점을 식별 및 분석하고, 가능한 리스크 노출에 대한 인사이트를 제공하며 완화를 위한 권장 사항을 제공할 수 있습니다.

스캔된 아티팩트 (Scanned artifacts)

Snyk Essentials에서 스캔된 아티팩트는 Snyk에 의해 감지되었지만 Git 원격 URL과 같은 식별 정보가 포함되어 있지 않아 리포지토리 자산으로 식별할 수 없는 엔터티입니다.

스캔된 아티팩트는 스캔에서 Snyk Essentials가 감지한 항목에 대한 가시성을 사용자에게 제공하지만 추가적인 문제 해결이 필요합니다.

Inventory 유형 보기에서 스캔된 아티팩트를 찾을 수 있지만 정책(Policies)에서는 지원되지 않습니다. 스캔된 아티팩트에는 식별 정보 누락으로 인해 중복이 포함될 수 있습니다.

자산 탭 (Asset tabs)

자산 정보는 다음 탭으로 나뉩니다.

• 요약 (Summary)

• 관련 자산 (Related Assets)

• 관련 프로젝트 (Related Projects)

• 속성 (Attributes)

요약 (Summary)

요약 탭은 자산 속성을 집중적으로 보여주는 보기입니다. 요약 화면에는 다음 정보가 표시됩니다.

• Info

  • Class - 자산의 비즈니스 중요도를 지정합니다.

  • Source - 자산의 출처를 지정합니다.

  • Visibility - 리포지토리의 가시성 상태를 나열합니다.

  • Risk factors - 활성 리스크 요인 목록을 제공합니다.

  • SCM Repository freshness - 마지막 커밋 날짜를 포함하여 리포지토리의 현재 상태를 제공합니다.

• Organization - 자산과 연관된 조직을 지정합니다.

• Labels - 해당 자산에 사용 가능한 모든 레이블 목록을 제공합니다.

• Tags - 자산에 구조화된 메타데이터를 첨부할 수 있는 키-값 쌍을 제공합니다.

• Issues - 식별된 오픈 이슈 유형을 분류합니다.

• App Context* - Backstage 카탈로그 또는 ServiceNow CMDB와 같은 앱 컨텍스트 통합에서 가져온 자산 메타데이터이며 카탈로그 이름, 카테고리, 애플리케이션, 소유자 등의 속성을 포함할 수 있습니다.

*App Context 정보는 자산이 애플리케이션 컨텍스트가 구성된 프로젝트의 일부인 경우에만 표시됩니다.

관련 자산 (Related Assets)

관련 자산 탭은 선택한 자산과 관련된 자산의 상세 보기를 제공합니다. 이 탭을 사용하여 스캔 커버리지나 자산 소유권을 평가하십시오. 관련 자산 중 하나를 클릭하여 세부 정보를 볼 수 있습니다. 일반적으로 이들은 패키지 자산입니다. 관련 자산을 볼 때 상단에 상위 리포지토리에 대한 링크가 있는 것을 볼 수 있습니다. 상위 자산 링크를 클릭하면 상위 자산의 초기 보기로 돌아갑니다.

관련 프로젝트 (Related Projects)

관련 프로젝트 탭은 플랫폼 내의 특정 자산과 연관된 Snyk 프로젝트 모음을 제공합니다. 이러한 프로젝트는 테이블 형식으로 정렬되어 자산과 관련된 취약점을 관리하고 평가하는 데 도움이 되는 관련 정보를 볼 수 있습니다. 각 프로젝트는 다음 세부 정보와 함께 표시됩니다.

• Projects by Target: 타겟별로 그룹화된 프로젝트 목록입니다. 프로젝트 이름과 프로젝트가 그룹화된 타겟 이름을 모두 볼 수 있습니다.

• Target Reference: 항상 사용 가능한 것은 아닌 선택적 식별자입니다.

• Test Surface: 프로젝트 스캔의 출처를 나타내며 SCM인지 CLI인지를 지정합니다.

• Issues: 프로젝트 내에서 식별된 이슈의 수와 심각도에 대한 통찰력을 제공합니다.

• Organization: 프로젝트가 속한 Snyk 조직을 표시합니다.

• Tested: 마지막 스캔 이후의 상대적 시간(예: "3시간 전")과 마우스를 올리면 전체 날짜와 시간을 보여주는 툴팁을 표시합니다.

프로젝트는 타겟, 타겟 참조 및 테스트 날짜별로 정렬됩니다. 이를 통해 모니터링하고 수정할 관련 프로젝트를 쉽게 찾을 수 있습니다.

속성 (Attributes)

속성 탭에는 데이터 소스에서 가져왔지만 전용 열이 없는 자산 ID나 자산 유형과 같은 기타 속성이 표시됩니다. 이 정보를 갖는 것의 이점은 단순히 보여주는 것뿐만 아니라 검색 가능하게 만드는 데 있습니다. 인벤토리 검색창이나 필터를 사용하여 속성을 검색할 수 있습니다.

이슈 (Issues)

이슈(Issues) 열은 자산 내에서 식별된 이슈의 포괄적인 목록을 제공하도록 설계되었습니다. 이러한 발견 사항은 Snyk과 배포했을 수 있는 내부 도구에 의해 수행된 스캔의 결과입니다. 이 상세 목록은 자산의 보안 태세를 이해하는 데 도움이 될 뿐만 아니라 각 이슈의 심각도와 영향에 따라 해결 노력의 우선순위를 정하는 데에도 도움이 됩니다. 이러한 이슈에 대한 가시성을 확보함으로써 애플리케이션 및 인프라의 전반적인 보안을 개선하기 위한 선제적인 조치를 취할 수 있습니다.

대부분의 이슈는 자산에 매핑됩니다. 그러나 일부 이슈는 자산과 연관되어 있지만 직접 연결되지는 않습니다. 이미지 자산의 경우가 그렇습니다.

이러한 자산은 Inventory 보기에서 볼 수 있으며, Insights UI 보기의 Asset and Source Code 열에도 반영됩니다.

자산 보기의 Issues 열은 열려 있는 이슈의 집계된 수를 표시하도록 설계되었습니다. 이 수는 자산, 하위 자산 또는 관련 패키지에서 발견된 이슈의 심각도 수준에 따라 신중하게 분류됩니다. 심각도는 네 가지 고유한 레벨로 나뉩니다.

• C (치명적, Critical): 심각한 위협을 나타내며 잠재적인 익스플로잇이나 중대한 중단을 방지하기 위해 즉시 해결해야 하는 이슈입니다.

• H (높음, High): 즉시 위험하지는 않지만 적시에 해결되지 않을 경우 치명적인 취약점으로 이어질 수 있는 중대한 이슈입니다.

• M (중간, Medium): 중간 심각도 이슈는 즉각적인 위협을 가하지 않을 수 있지만 전반적인 보안 및 기능을 개선하기 위해 정기적인 유지 관리의 일환으로 수정하는 것이 중요합니다.

• L (낮음, Low): 시스템 및 운영 보안에 미치는 영향이 적은 경미한 이슈로 간주되지만, 최적의 성능을 유지하고 향후 취약점을 방지하기 위해 여전히 해결해야 합니다.

이러한 분류는 우선순위 지정을 간소화하여 중요한 영역에 집중하고 해결을 최적화하는 데 도움이 됩니다.

커버리지 제어 (Coverage Controls)

Controls 열은 특정 리포지토리 자산에 대해 실행된 모든 Snyk 제품을 표시합니다. 이 열에는 각 Snyk 제품에 대한 로고가 원형으로 표시됩니다. 로고 아이콘 자체에는 해당 소스의 최고 이슈 심각도가 표시됩니다. 예를 들어 최고 심각도 이슈가 C (치명적)인 경우 제어 아이콘에 빨간색 점이 표시됩니다.

제어(Controls) 로고는 다음 상태 중 하나를 가질 수 있습니다.

제어 로고를 클릭하여 최근 테스트(Last test) 세부 정보와 심각도별로 나뉜 이슈(Issues) 수를 확인하십시오. 이는 자산이 특정 제품에 의해 스캔된 가장 최근의 시점을 반영합니다.

태그 (Tags)

자산에 특정 구조화된 메타데이터를 첨부할 수 있는 키-값 태깅 기능을 제공합니다. 이 기능을 사용하면 세밀한 필터링, 강력한 정책 생성 및 내부 시스템과의 더 나은 정렬이 가능합니다. 예시: 구조화된 태그는 platform:aws 또는 region:eu-central-1과 같이 키와 값을 모두 제공합니다.

태그별 자산 필터링 방법

Snyk 웹 UI에서 **고급 필터(Advanced filters)**를 사용하여 태그별로 자산을 필터링할 수 있습니다. 자산의 속성, 조건 및 값과 같은 특정 기준에 따라 필터를 정의할 수 있습니다.

• Tags로 필터링: 새로운 Tags 필터는 키-값 쌍 필터입니다. 이 필터를 사용하면 department와 같은 특정 태그 키를 선택한 다음 finance와 같은 해당 값을 선택하여 자산 목록을 좁힐 수 있습니다.

레이블 (Labels)

자산 레이블은 리포지토리 자산 및 빌드 아티팩트에 적용되는 메타데이터입니다. 자산 레이블을 사용하여 미리 정의된 값을 기반으로 태그를 지정하고, 보안 정책을 관리 및 적용하고, 공통된 특성에 따라 자산을 그룹화할 수 있습니다. 다음 자산 유형을 사용할 수 있습니다.

• GitHub 사용자 지정 속성 (custom properties) - GitHub 리포지토리와 연관된 GitHub 사용자 지정 속성을 레이블로 나열합니다.

• 사용자 정의 레이블 (User-defined labels) - 자산 정책을 통해 논리를 정의할 수 있으므로 사용자 정의가 가능합니다. 예를 들어 GitHub와 같은 특정 소스에서 온 리포지토리를 나타내도록 레이블을 설정할 수 있습니다. 자산과 연관된 레이블은 UI에서 자산 정책 레이블 이름으로 식별됩니다.

• 시스템 레이블 (System labels) - 자산 이름이나 감지된 키워드(예: codeowners)를 기반으로 Snyk에 의해 자동으로 할당됩니다.

리포지토리 자산 레이블은 정책을 통해 추가되거나 더 많은 컨텍스트를 제공하기 위해 Snyk Essentials에 의해 시스템에서 생성될 수 있습니다. 레이블 필드를 클릭하여 모든 레이블을 봅니다.

시스템 생성 레이블에는 다음 정보가 포함됩니다.

• 기술 (Technology) - 리포지토리 자산 내의 소스 코드에서 Snyk Essentials에 의해 감지된 언어.

• SCM 토픽 (Topic) - 통합된 SCM 리포지토리에서 발견된 토픽. Snyk Essentials는 GitHub 및 GitLab의 토픽을 지원합니다.

• 자산 유형 레이블 - 자산의 유형을 설명하는 레이블. 예를 들어 컨테이너 자산에는 이미지 자산 레이블이 할당됩니다.

• SCM 리포지토리 최신성 (Repository freshness) - 리포지토리의 상태와 마지막 커밋 날짜.

  • Active: 지난 3개월 이내에 커밋이 있음.

  • Inactive: 마지막 커밋이 지난 3~6개월 사이에 이루어짐.

  • Dormant: 지난 6개월 동안 커밋이 없음.

  • N/A: Snyk Essentials에 의해 감지된 커밋이 없음.

레이블 규칙 개요

레이블은 세 가지 주요 카테고리로 구성됩니다.

• GitHub 사용자 지정 속성

• 자산 정책 레이블

• 시스템 레이블

시스템 레이블은 SCM 리포지토리에서 자동으로 생성됩니다. 시스템 레이블은 세 가지 주요 카테고리로 분류될 수 있습니다.

• 언어:

  • 리포지토리에서 데이터를 사용할 수 있는 한 GitHub, GitLab, Azure DevOps 및 BitBucket에 적용됩니다.

  • GitHub, GitLab 및 Azure DevOps는 자동 언어 감지 기능이 있습니다. 반면 BitBucket은 사용자가 리포지토리에서 언어를 설정해야 합니다.

• SCM 토픽:

  • GitHub 및 GitLab에 적용됩니다.

• 리포지토리에서 발견된 단어를 기반으로 하는 여러 다른 규칙:

  • GitHub, GitLab, Azure DevOps 및 BitBucket에 적용됩니다.

레이블 지정 정책 (Labeling policy)

사전 정의된 시스템 레이블 및 자산 레이블을 사용하여 필터 기준을 충족하는 리포지토리를 표시할 수 있습니다. 다음 레이블 지정 정책 사용 사례를 확인하십시오.

메타데이터와 관련된 레이블 지정 규칙

Snyk 웹 인터페이스에서 고급 필터(Advanced Filters) 옵션을 사용하여 레이블별로 자산을 필터링할 수 있습니다. 자산의 속성, 조건 및 값과 같은 매우 구체적인 기준에 따라 필터를 정의할 수 있습니다.

• labels로 필터링: 이 필터를 사용하여 특정 레이블을 선택할 수 있습니다.

개발자 (Developers)

특정 자산에서 작업한 모든 개발자 목록을 볼 수 있습니다. 세부 정보 목록에는 리포지토리 자산에 대한 코드 커미터의 SCM 프로필 세부 정보가 포함됩니다.

클래스 (Class)

정책 보기에서 정의한 대로 A(가장 중요)에서 D(가장 덜 중요)까지 자산의 비즈니스 중요도를 반영합니다.

자산의 비즈니스 중요도를 수동으로 변경할 수 있습니다. 중요도 레벨을 클릭하고 목록에서 다른 레벨을 선택하십시오.

클래스 값을 수동으로 설정한 후, Set Asset Class를 작업으로 하는 정책에 의해 잠재적으로 덮어쓰여지는 것을 방지하기 위해 값을 잠글 수 있는 옵션이 있습니다. 자산의 일반 또는 요약 보기에서 값을 잠글 수 있습니다. 자물쇠 아이콘을 클릭하여 언제든지 클래스 값을 잠금 해제할 수 있습니다. 값 잠금 해제에 대한 확인을 요청하는 팝업이 표시됩니다.

Asset Class 열은 리스크 기반 우선순위 지정을 위한 Insights UI에서도 사용할 수 있으며, 여기와 동일한 기능을 가집니다. 현재 Asset Class 열은 리포지토리 자산에 대해서만 사용할 수 있으며 Snyk Code에만 적용됩니다.

클래스 값은 정책을 사용하여 자동으로 생성될 수 있습니다. Set Asset Class를 작업으로 하는 정책을 생성하기만 하면 됩니다.

리스크 요인 (Risk factors)

Risk Factors 열에는 각 자산과 연관된 잠재적인 취약점 및 보안 위협이 나열됩니다. 이러한 리스크 요인은 사용자가 특정 리스크를 식별하여 이슈의 우선순위를 정하고 더 효과적으로 해결할 수 있도록 돕습니다. 자신의 자산과 연결된 특정 리스크를 이해함으로써 사용자는 더 정보에 입각한 해결 조치를 취할 수 있습니다.

사용 가능한 리스크 요인 목록은 다음과 같습니다.

• 배포됨 (Deployed)

• 로드된 패키지 (Loaded package)

• OS 조건 (OS Condition)

• 외부 노출 (Public facing)

소스 (Source)

Snyk Essentials의 Source 열은 사용자가 자산의 출처(Snyk에서 직접, SCM 시스템을 통해, 또는 타사 통합 사용 여부)를 식별하도록 돕습니다. 이 기능은 각 자산의 출처에 대한 명확한 가시성을 제공하여 자산 관리 및 리스크 우선순위 지정을 단순화하며, 더 효과적인 보안 전략과 해결 노력을 가능하게 합니다.

SCM 통합 (SCM Integrations)

SCM Integrations 열은 각 SCM이 그룹 또는 조직 레벨에서 Snyk에 어떻게 통합되었는지 나타냅니다. 전체 컨텍스트 보강은 그룹 레벨에서 가능하며, 테스트는 조직 레벨에서 가능합니다.

이 열은 기본적으로 숨겨져 있으며 Columns 섹션에서 활성화할 수 있습니다. 다음 값을 보여줍니다.

• Snyk Org: 가져오기 및 테스트를 위해 Snyk 조직 레벨 통합이 사용됩니다.

• Snyk Essentials: 검색 및 자산 보강을 위해 Snyk 그룹 레벨 통합이 사용됩니다.

SCM 리포지토리 최신성 (SCM Repository freshness)

SCM Repository freshness 열은 마지막 커밋 날짜를 포함하여 리포지토리의 현재 상태를 즉시 파악할 수 있게 해줍니다. 이를 통해 활성 프로젝트와 휴면 프로젝트를 신속하게 식별하고 유지 관리, 보안 패치 및 리소스 할당에 관한 결정을 내리는 데 도움을 줍니다.

리포지토리 최신성은 마지막 커밋 날짜에 따라 리포지토리 상태를 표시합니다.

• Active: 지난 3개월 이내에 커밋이 있음.

• Inactive: 마지막 커밋이 지난 3~6개월 사이에 이루어짐.

• Dormant: 지난 6개월 동안 커밋이 없음.

• N/A: 커밋 데이터를 사용할 수 없음.

클러스터 (Clusters)

Clusters 열은 이미지가 배포된 모든 클러스터 이름을 나열하며 런타임 통합을 정보 소스로 사용합니다. 클러스터에서 이미지가 제거되면 클러스터 이름도 컬렉션에서 삭제됩니다. 클러스터는 필터에서도 사용할 수 있으며 인벤토리 보기에서 자산을 필터링하거나 정책 보기에서 정책을 생성할 수 있습니다.

조직 (Organizations)

Organizations 열은 각 자산과 연관된 모든 Snyk 조직을 나열합니다. 여기에는 자산과 연결된 프로젝트를 포함하는 조직의 이름이 포함되어 사용자가 조직 구조에 따라 자산 인벤토리를 필터링하고 구성할 수 있게 합니다. 조직은 필터에서도 사용할 수 있으며 인벤토리 보기에서 자산을 필터링하거나 정책 보기에서 정책을 생성할 수 있습니다.

가시성 (Visibility)

Visibility 열은 다음과 같이 리포지토리의 가시성 상태를 나열합니다.

• Public: 공개적으로 액세스 가능한 리포지토리.

• Private: 제한된 리포지토리.

• Internal: GitHub 및 GitLab에 특화된 내부 리포지토리.

• N/A

이 메타데이터를 사용하여 리스크의 우선순위를 정하고 가시성 기반 커버리지 제어를 적용하십시오. 이 열은 이미지 자산에 대해서는 사용할 수 없으며 보고서 필터에서 제외됩니다.

작업 (Actions)

Actions 열은 전체 컨텍스트 보강에 액세스하기 위해 그룹 레벨에서 SCM 통합을 설정하는 워크플로우를 제공합니다. 통합 유형을 식별하려면 SCM Integrations 열을 확인하십시오. 이 사용 사례는 그룹 레벨 통합이 구성되지 않은 경우에 적용됩니다.

그룹 레벨 통합이 설정되지 않은 경우, 조직 레벨에서 검색된 리포지토리는 Actions 열 아래에 Set up integration 버튼을 표시합니다. 그룹 레벨에서 통합을 설정하면 이 옵션은 사용할 수 없게 됩니다.

컨텍스트 보강을 추가하려면 자산을 찾아 Set up integration을 선택하십시오. 구성 세부 정보는 Snyk SCM 통합을 참조하십시오.