자산 인벤토리 탭

Snyk은 자산을 애플리케이션 SDLC의 의미 있는 실제 구성 요소로 정의합니다. 여기서 '의미 있는'이란 리스크를 수반하거나 다른 구성 요소(예: 패키지를 포함하는 리포지토리)의 리스크를 집계한다는 의미이며, '실제'란 해당 개념이 Snyk 외부에서도 존재함을 의미합니다(예: 일반적으로 적용되는 용어인 리포지토리). 대부분의 경우 자산은 리스크를 수반하거나 패키지를 포함하는 리포지토리와 같은 다른 구성 요소의 리스크를 집계합니다.

Snyk Essentials 인벤토리 탭은 리포지토리 자산을 의미 있는 방식으로 구성하여 다음을 가능하게 합니다.

구성된 팀 및 리포지토리 코드 커미터에 대한 세부 정보를 포함하여 SCM 도구로부터 전체 리포지토리 자산 가시성을 확보합니다.
Snyk 제품에 대한 제어 커버리지를 추적합니다.
비즈니스 영향에 따라 커버리지 완화 노력의 우선순위를 정합니다.
자동 리포지토리 검색을 사용하여 아직 Snyk으로 가져오지 않은 리포지토리를 노출하고 커버리지 격차를 식별합니다.

인벤토리의 각 행은 하나의 자산을 나타냅니다.

인벤토리 탭

자산 인벤토리에 대한 더 나은 컨텍스트와 명확성을 얻기 위해 Snyk Essentials는 인벤토리 탭을 통한 유연한 구조화를 허용합니다. Snyk Essentials에는 5개의 인벤토리 탭이 포함되어 있으며 서로 다른 컨텍스트별로 자산을 그룹화합니다. 그룹 레벨의 Inventory 메뉴 옵션에서 모든 인벤토리 탭을 찾을 수 있습니다.

Overview: 검색된 리포지토리에 대한 빠른 인사이트를 제공하여 AppSec 팀이 Snyk을 사용하여 프로그램을 효과적으로 운영할 수 있도록 합니다.
All Assets: 검색된 모든 자산이 유형별로 그룹화됩니다.
Asset Hierarchy: 자산을 계층 구조로 보여줍니다. 자산 목록은 이슈 수에 따라 정렬되며, 해당하는 경우 패키지 자산은 해당 자산이 위치한 리포지토리 아래에 나열됩니다. 자산 계층 구조는 필터가 적용되지 않은 경우에만 표시됩니다.
Teams: SCM 리포지토리 자산이 팀별로 그룹화됩니다. 이 탭에서는 팀이 있는 SCM 조직과 팀에 할당된 리포지토리만 볼 수 있습니다.
Technology: Snyk Essentials에 의해 감지되고 태그가 지정된 기술별로 그룹화된 SCM 리포지토리 자산입니다.

각 인벤토리 탭에는 그룹화 컨텍스트에 따라 자산 및 스캔된 아티팩트의 수가 다르게 포함될 수 있습니다. 그 외에 모든 열과 데이터 조작 기능은 각 인벤토리 탭에서 동일합니다.

자산 인벤토리 필터 페이지에 나열된 사용 가능한 필터를 사용하여 모든 인벤토리 탭의 정보를 필터링할 수 있습니다.

인벤토리 개요 (Inventory Overview)

Snyk Inventory의 Overview 탭은 검색된 리포지토리에 대한 인사이트를 제공하며, 검색된 총 리포지토리 수, 테스트된 리포지토리와 테스트되지 않은 리포지토리의 분포, 휴면 리포지토리 수 또는 자산 정책에 기반한 커버리지 세부 정보와 같은 주요 기능과 특성을 강조합니다.

검색된 리포지토리에 대한 빠른 인사이트를 제공하여 AppSec 팀이 Snyk을 사용하여 프로그램을 효과적으로 운영할 수 있도록 돕습니다. 이는 커버리지 격차를 줄이고, 자산 컨텍스트를 구성 및 활용하며, 커버리지 정책 준수를 보장하는 데 도움이 됩니다.

테스트된 리포지토리 (Repositories tested)

이 위젯을 사용하여 검색된 모든 리포지토리의 개요와 Snyk이 아직 테스트하지 않은 리포지토리 수를 확인하십시오. 위젯의 Not Tested 섹션을 클릭하면 테스트되지 않은 리포지토리의 전체 목록을 볼 수 있습니다. 테스트되지 않은 모든 리포지토리를 올바른 Snyk 조직으로 가져와 테스트할 수 있습니다.

제어 커버리지 격차 (Control coverage gaps)

이 위젯을 사용하여 검색된 모든 리포지토리에 대한 명확한 개요를 얻고, 자산 정책에 정의된 대로 적어도 하나의 제어 커버리지 격차가 있는 리포지토리가 얼마나 되는지 확인하십시오. 커버리지 격차가 있는 리포지토리는 자산 정책에 설정된 커버리지 요구 사항을 충족하지 않는 리포지토리입니다. 커버리지 격차는 새로운 그룹에 적용되는 기본 정책을 사용하여 자동으로 강조 표시되어 애플리케이션 리스크를 줄이는 데 도움을 줍니다.

다음 단계에 따라 커버리지 격차를 해결하십시오.

"Coverage gap"을 클릭하여 영향을 받는 모든 리포지토리를 확인합니다.
정책 미준수 원인을 파악합니다.
리포지토리를 수정하여 정책을 준수하도록 만듭니다.
자산 정책을 설정합니다.

휴면 리포지토리 (Dormant repositories)

이 위젯을 사용하여 치명적 및 높은 리스크 이슈가 있는 모든 휴면 리포지토리를 확인하십시오. 휴면 리포지토리는 지난 6개월 동안 커밋이 없었던 리포지토리입니다. 이 정보를 바탕으로 오래된 리포지토리를 폐기할지 또는 수정할지 결정할 수 있습니다.

이슈가 가장 많은 언어 (Languages with most issues)

이 위젯을 사용하여 코드베이스 내에서 이슈가 자주 발생하는 프로그래밍 언어를 식별하십시오. 나열된 언어 위에 마우스를 올리면 선택한 언어의 설정, 통합 및 사용자 지정에 중점을 둔 Snyk Learn 교육을 확인하고 액세스할 수 있습니다.

높음 및 치명적 이슈가 가장 많은 클래스 A 리포지토리 (Class A repositories with most high and critical issues)

비즈니스에 가장 큰 영향(클래스 A)을 미치는 고위험 클래스 A 리포지토리를 최대 10개까지 확인하려면 이 위젯을 사용하십시오. 이 도구는 개발 팀이 자산 컨텍스트를 사용하여 해결 노력의 우선순위를 식별하고 정하는 데 도움을 줍니다. 고위험 영역을 즉시 처리함으로써 프로젝트의 안정성과 보안을 개선하고 궁극적으로 소프트웨어 품질을 향상시킬 수 있습니다.

모든 자산 (All Assets)

Inventory 메뉴 아래의 All Assets 탭은 모든 자산에 대한 중앙 집중식 보기를 제공하여 보안 태세에 대한 포괄적인 개요를 제공합니다. 자산 목록에 액세스하고 필요에 맞게 보기를 사용자 정의할 수 있습니다. 표시할 열을 선택하고, 필터를 사용하여 정보를 정제하며, 세부 정보를 내보내어 다른 사람과 공유하십시오.

이 통합된 보기를 통해 자산을 효율적으로 모니터링하고 더 강력한 애플리케이션 보안을 위해 해결 우선순위를 정할 수 있습니다.

자산 계층 구조 (Asset Hierarchy)

Snyk Inventory의 Asset Hierarchy는 모든 자산을 구조화된 계층적 형식으로 구성합니다. 자산은 이슈 수에 따라 정렬되며, 해당하는 경우 패키지 자산은 해당 자산이 위치한 리포지토리 아래에 나열됩니다.

자산 계층 구조는 필터가 적용되지 않은 경우에만 표시되므로 자산과 그 관계에 대한 명확하고 필터링되지 않은 보기를 볼 수 있습니다.

이 레이아웃은 서로 다른 자산 간의 관계와 관련 이슈를 이해하는 데 도움을 주며, 조직 내 자산 환경에 대한 포괄적인 보기를 제공합니다.

팀 (Teams)

Snyk Inventory의 Teams 탭은 SCM 리포지토리의 자산을 팀별로 구성합니다. 자산은 SCM 조직 내에서 할당된 팀에 따라 그룹화됩니다.

팀이 있고 팀에 할당된 리포지토리가 있는 SCM 조직만 이 레이아웃에 나타납니다. 이는 팀 구조에 따라 리포지토리 자산을 시각화하고 관리하는 데 도움이 되며, 팀의 책임에 따라 보안 노력을 추적하고 우선순위를 정하는 것을 더 쉽게 만듭니다.

기술 (Technology)

Snyk Inventory의 Technology 탭은 프로그래밍 언어 및 프레임워크와 같이 사용된 기술별로 SCM 리포지토리 자산을 그룹화합니다. 이 분류는 Snyk Essentials에 의해 감지되고 태그가 지정되므로 사용된 기술을 기반으로 자산을 쉽게 식별하고 관리할 수 있습니다.

이 기능은 리포지토리의 기술적 환경을 이해하는 데 도움을 주며, 서로 다른 기술과 연관된 리스크를 관리하고 보안 노력의 우선순위를 정하는 데 유용할 수 있습니다.

자산 및 속성

인벤토리에 나열된 모든 항목은 개별 자산으로 간주됩니다. 대부분의 자산은 애플리케이션의 실제 구성 요소(코드 리포지토리, 도메인, 엔드포인트 등)이지만, 자산은 그룹(특정 사업부) 또는 제품을 나타낼 수도 있습니다.

인벤토리의 자산은 다음 열에 주요 속성과 함께 표시됩니다.

Asset - 리포지토리 자산의 이름, 스캔된 아티팩트, 그리고 가능한 경우 Git 원격 URL. 스캔된 아티팩트에는 Git 원격 URL이 없습니다.
Issue - 자산 자체와 그 하위 자산 또는 패키지의 동일한 심각도에 대해 모든 관련 도구에서 집계된 열린 자산의 이슈 수. 심각도 레벨은 C (치명적), H (높음), M (중간), L (낮음)으로 분류됩니다.
Controls - 특정 리포지토리 자산에 대해 Snyk Essentials가 감지한 모든 제품과, Snyk Essentials에 의해 커버되어야 하지만 커버되지 않은 모든 제품을 상세히 보여주는 보고서.
Tags - 자산에 대해 더 강력하고 세밀한 컨텍스트를 제공하기 위해 고유한 키-값 태그를 추가할 수 있습니다. 이 속성을 사용하여 자산에 특정하고 고유한 메타데이터를 첨부할 수 있으며, 이를 통해 정밀한 필터링, 강력한 정책 생성 및 내부 시스템과의 정렬이 가능해집니다.
Labels - Snyk Essentials는 리포지토리에서 사용된 기술(Python, Terraform 등) 및 리포지토리 최신 업데이트에 대한 정보로 리포지토리 자산에 자동으로 레이블을 지정합니다. 정책을 사용하여 리포지토리 자산에 레이블을 지정할 수도 있습니다.
Developers - 리포지토리 자산에 대한 코드 커미터의 SCM 프로필 세부 정보가 포함됩니다.
Class - 사용자가 정책 보기에서 정의한 대로 A(가장 중요)에서 D(가장 덜 중요)까지 자산의 비즈니스 중요도를 반영합니다. 수동으로 클래스를 변경하거나 정책을 적용하여 자동으로 변경할 수 있습니다. 정책이 수동으로 설정한 클래스 값을 덮어쓰지 않도록 값을 잠글 수 있습니다.
Risk factors - 각 자산과 연관된 잠재적인 취약점 및 보안 위협을 나열하고 사용자가 특정 리스크를 식별하여 이슈의 우선순위를 정하고 더 효과적으로 해결할 수 있도록 돕습니다.
Source - Snyk, SCM 또는 타사 통합에서 올 수 있는 자산의 소스를 반영합니다.
SCM Integrations - 각 SCM이 그룹 또는 조직 레벨에서 어떻게 통합되었는지 보여줍니다. SCM 통합의 소스를 이해함으로써 전체 자산 컨텍스트를 확보하기 위해 그룹 레벨 통합이 필요한지 여부를 판단할 수 있습니다.
SCM Repository freshness - 리포지토리의 상태와 마지막 커밋 날짜를 반영합니다.
Clusters - 이미지 자산이 배포된 모든 클러스터 이름 목록을 제공합니다.
Organizations - 자산에 매핑된 Snyk 조직 목록을 제공합니다.
Actions - 레이블, 개발자 및 리포지토리 최신성과 같은 정보로 자산 컨텍스트를 보강하여 SCM 통합을 설정하는 워크플로우를 제공합니다. 이 사용 사례는 그룹 레벨 통합이 구성되지 않은 경우에 사용할 수 있습니다.

Clusters 열은 기본적으로 숨겨져 있습니다. 활성화하려면 Columns를 클릭하고 드롭다운 목록에서 Clusters를 선택한 다음 Apply를 클릭하여 변경 사항을 저장하십시오.

자산 소스, 유형 및 스캔된 아티팩트

Snyk Essentials는 Snyk 및 Snyk Essentials Integration을 사용하여 온보딩된 모든 SCM 도구로부터 자산을 자동으로 도출합니다. Snyk Essentials Integration의 SCM 도구는 Snyk에 의해 스캔되지 않는 추가 리포지토리와 팀 및 코드 커미터와 같은 추가 컨텍스트를 추가할 수 있습니다.

리포지토리 자산, 스캔된 아티팩트 및 패키지

리포지토리 자산 (Repository assets)

Snyk Essentials는 리포지토리 자산(메인 브랜치 기반)을 자산 유형으로 지원합니다. 리포지토리 자산은 모든 인벤토리 레이아웃에서 볼 수 있으며 정책(Policies)에 의해 지원됩니다. 중복을 피하기 위해 리포지토리 자산의 경우 고유 식별자인 git 원격 URL을 사용하여 자산을 식별합니다.

Snyk Essentials SCM 가져오기 리포지토리의 경우, 보관(archived)되었거나 삭제된 리포지토리는 자산 인벤토리에 표시되지 않으며 대시보드 위젯에도 나타나지 않습니다.

스캔된 아티팩트 (Scanned artifacts)

Snyk Essentials에는 스캔된 아티팩트라는 개념도 포함되어 있습니다. 스캔된 아티팩트는 Snyk에 의해 감지되었지만 Git 원격 URL과 같은 식별 정보가 포함되어 있지 않아 리포지토리 자산으로 식별할 수 없는 엔터티입니다.

스캔된 아티팩트는 스캔에서 Snyk Essentials가 감지한 항목에 대한 가시성을 사용자에게 제공하지만 추가적인 문제 해결이 필요합니다.

Inventory 유형 보기에서 스캔된 아티팩트를 볼 수 있습니다. 스캔된 아티팩트는 정책(Policies)에서 지원되지 않습니다. 또한 식별 정보가 누락되어 있어 중복이 포함될 수 있습니다.

패키지 (Packages)

패키지는 패키지 관리 시스템에 의해 관리되는 소프트웨어 또는 라이브러리로 정의됩니다.

패키지 자산은 패키지 관리 시스템을 통해 또는 Snyk CLI를 사용하여 프로젝트의 종속성을 스캔할 때 생성됩니다. 이를 통해 Snyk Essentials는 프로젝트 내에서 사용되는 패키지의 보안 취약점을 식별 및 분석하고, 가능한 리스크 노출에 대한 인사이트를 제공하며 완화를 위한 권장 사항을 제공할 수 있습니다.

Previous개요 Next자산 인벤토리 구성 요소

Last updated 11 days ago

hashtag인벤토리 탭

hashtag인벤토리 개요 (Inventory Overview)

hashtag테스트된 리포지토리 (Repositories tested)

hashtag제어 커버리지 격차 (Control coverage gaps)

hashtag휴면 리포지토리 (Dormant repositories)

hashtag이슈가 가장 많은 언어 (Languages with most issues)

hashtag높음 및 치명적 이슈가 가장 많은 클래스 A 리포지토리 (Class A repositories with most high and critical issues)

hashtag모든 자산 (All Assets)

hashtag자산 계층 구조 (Asset Hierarchy)

hashtag팀 (Teams)

hashtag기술 (Technology)

hashtag자산 및 속성

hashtag자산 소스, 유형 및 스캔된 아티팩트

hashtag리포지토리 자산, 스캔된 아티팩트 및 패키지

hashtag리포지토리 자산 (Repository assets)

hashtag스캔된 아티팩트 (Scanned artifacts)

hashtag패키지 (Packages)