애플리케이션 분석

분석(Analytics) 메뉴는 테넌트 레벨의 Application Analytics 탭 아래에서 사용할 수 있습니다. 애플리케이션 분석은 관리자와 엔지니어링 팀을 지원하기 위해 개선이 필요한 영역, 새롭게 발생하는 리스크, 이전에 간과된 취약점을 강조하도록 설계되었습니다.

대시보드에는 열린 이슈의 상태 및 트렌드, 제어 커버리지, 리포지토리 메타데이터와 같은 필수 데이터가 표시됩니다. 또한 가져온 자산의 상태도 보여줍니다. 자산 클래스, 애플리케이션 또는 팀과 같은 다양한 관점에서 정보를 포괄적으로 한눈에 검토할 수 있도록 하며, 경험을 향상시키기 위한 전역 필터 바를 제공합니다.

개요

애플리케이션 분석을 통해 하향식(top-down) 접근 방식으로 프로그램 상태와 결과를 검토하고 탐색할 수 있습니다. 애플리케이션, 팀(소유자) 또는 자산 클래스에 대한 높은 수준의 일반적인 레벨에서 탐색을 시작하여 자산 레벨까지 좁혀갈 수 있습니다. 개선이 필요한 영역을 식별하고, 전개되는 리스크를 인식하며, 사각지대를 해결함으로써 애플리케이션의 보안을 강화할 수 있습니다. 애플리케이션 분석은 테넌트에 사용 가능한 모든 그룹의 데이터를 가져옵니다.

애플리케이션 분석을 활용하면 다음과 같은 질문에 대한 답을 얻을 수 있습니다.

• 어떤 민감한 자산이 외부에 노출되어 있으며 커버리지 정책에 따라 테스트되지 않고 있습니까?

• 누적된 치명적 및 높음 이슈 측면에서 어떤 애플리케이션과 코드 소유자가 가장 큰 리스크를 안고 있으며, 다른 항목과 비교했을 때 어떻습니까?

• 애플리케이션이나 코드 소유자와의 명확한 연관성이 없는 리포지토리가 얼마나 존재합니까? 그리고 새로운 자산이 예상대로 연관되고 있습니까?

필터 및 보기

사용 가능한 필터, 차원 보기 및 특정 시간 범위를 사용하여 데이터를 사용자 지정할 수 있습니다.

필터는 테넌트 레벨에서 적용되며, 사용자 지정된 후에는 애플리케이션 분석 페이지에 표시되는 모든 보고서와 통계에 영향을 미칩니다.

View by 옵션을 사용하여 데이터를 더욱 세분화할 수 있습니다. 이는 자산 클래스(Asset Class), 애플리케이션(Application) 또는 소유자(Owner)와 같은 특정 차원에 데이터를 집중시킵니다.

필터

필터는 애플리케이션 분석 페이지의 왼쪽 상단에 위치하며 필요에 따라 사용자 지정할 수 있습니다.

사용 가능한 필터는 다음과 같습니다.

보기 (Views)

AppSec 프로그램을 관리하는 것은 어려울 수 있으며, 특히 자산과 이슈에 대한 완전한 가시성을 보장하는 것이 그렇습니다. 보호가 필요한 자산을 식별하고 모든 적용 가능한 AST로 모니터링하는 것은 어려울 수 있습니다. 이 작업은 새로운 자산과 AST의 잘못된 구성으로 인해 더욱 복잡해지며, 불완전한 커버리지와 심각한 가시성 부족으로 이어집니다. AppSec 팀은 애플리케이션 및 해당 소유자와 연결된 리스크 및 취약점에 대한 포괄적인 이해를 유지해야 합니다.

애플리케이션이나 소유자별로 메트릭을 보는 것은 훨씬 더 의미가 있으며 다음을 도와줍니다.

• 엔터프라이즈 전반의 모든 레벨과 그룹에 상태 및 전개되는 트렌드를 명확하게 소통합니다.

• 상황을 인지해야 할 사람과 조치를 취해야 할 사람을 식별합니다.

• 비교를 수행하고 더 많은 주의가 필요한 곳을 결론지었습니다.

애플리케이션 분석은 중요한 자산, 애플리케이션 및 코드 소유자(팀)에 대한 새로운 수준의 가시성을 제공하며 리스크와 커버리지를 식별하고 조치를 취하도록 돕습니다.

R&D 팀 전반의 협업은 최적의 가시성을 달성하기 위해 필요하며 AppSec 팀의 주의가 필요합니다.

다음을 기준으로 분석 보기를 표시할 수 있습니다.

• 자산 클래스 (Asset Class)

• 애플리케이션 (Application)

• 소유자 (Owner)

차원별 보기(View by dimension)를 선택하면 노출된 모든 위젯에 영향을 미치며, 선택한 차원을 기반으로 데이터 포인트를 비교할 수 있습니다.

자산과 애플리케이션은 중요도와 민감도가 다릅니다. 일부 리포지토리는 내부용이며 테스트용으로만 사용되는 반면, 다른 리포지토리는 외부에 노출되어 주요 서비스에 사용됩니다.

대시보드 기본 보기는 자산 클래스별로 자산 및 이슈 메트릭을 비교합니다. 대시보드 전체에서 애플리케이션 또는 코드 소유자 간의 비교를 보려면 차원별 보기를 표시하십시오.

자산 클래스 보기

자산 클래스는 A(가장 중요)에서 D(가장 덜 중요)까지 자산의 비즈니스 중요도를 반영합니다. 이러한 수준의 가시성을 확보함으로써 인벤토리, 애플리케이션 또는 코드 소유자에서 가장 중요한 자산의 우선순위를 정할 수 있습니다. 자산을 자산 클래스와 연결하려면 인벤토리 화면에서 수동으로 자산 클래스를 변경하거나, 가급적이면 자산에 자산 클래스를 자동으로 할당하는 분류 정책을 정의하십시오.

애플리케이션 및 소유자 보기

애플리케이션 또는 코드 소유자를 기반으로 애플리케이션 분석 대시보드의 데이터를 필터링할 수 있습니다. 진행하려면 리포지토리에 적절한 메타데이터를 사용할 수 있어야 합니다. 메타데이터는 Snyk SCM 통합에서 직접 가져올 수 있습니다. 설정 방법에 대한 자세한 내용은 자산 인벤토리의 Backstage 카탈로그 페이지에서 찾을 수 있습니다. 이 메타데이터를 리포지토리에서 사용할 수 있는지 확인하려면 리포지토리 메타데이터의 완전성(completeness) 위젯을 확인하십시오. Snyk은 대시보드에서 자산 클래스 필터를 사용하여 모든 클래스 A 자산이 올바르게 구성되었는지 확인할 것을 권장합니다.

분석 시간 범위

Asset Introduction Date 필터를 추가하여 분석된 자산 데이터에 대한 특정 날짜 범위를 선택할 수 있습니다. 해당 필터를 적용하면 트렌드가 아닌 모든 위젯에 영향을 미치며, 사용 가능한 모든 데이터를 보여주는 대신 선택한 날짜 범위에 도입된 자산에 대한 데이터로 좁힙니다. 트렌드 위젯은 지난 3개월의 고정된 시간 범위를 표시하도록 구성되어 있습니다.

다음 비디오는 Snyk 웹 UI의 애플리케이션 분석 필터 및 보기에 대한 개요를 제공합니다.

데이터 카테고리

애플리케이션 분석 대시보드는 세 가지 주요 데이터 카테고리에 집중합니다.

• 커버리지 (Coverage) - 분석된 자산에 대한 커버리지 상태 및 트렌드를 제공합니다.

• 이슈 (Issues) - 열린 이슈의 상태를 제공합니다.

• 자산 (Assets) - 리포지토리 메타데이터의 커버리지 상태와 가져온 자산의 상태 및 트렌드를 제공합니다.

커버리지 (Coverage)

AppSec 팀의 주요 임무 중 하나는 자산 인벤토리 전체에 걸쳐 적절한 스캔 커버리지를 보장하는 것입니다. 커버된 자산은 단순히 특정 애플리케이션 보안 테스팅(AST) 제품에 의해 스캔된 자산을 의미합니다. 커버되지 않은 자산이 있으면 회사가 알려지지 않은 리스크에 노출되므로, 비즈니스 크리티컬 자산(자산 클래스 또는 전략적 애플리케이션 기반)이 적절하게 스캔되고 있는지 확인하는 것이 필수적입니다.

Coverage 섹션에는 자산 커버리지에 대한 정보가 있습니다.

• 커버리지 개요 (Coverage overview) - 스캔 카테고리(SAST, SCA, Container, Secrets)별로 분류된 스캔된 자산에 대한 정보를 백분율로 제공합니다.

• 커버리지 트렌드 (Coverage trend) - 지난 3개월 동안의 커버리지 트렌드를 검토할 수 있습니다. 증가하는 트렌드는 자산 인벤토리의 더 많은 부분이 스캔되었음을 나타냅니다.

Coverage 섹션은 스캔 카테고리를 기반으로 하며 선택한 보기(자산 클래스, 애플리케이션 또는 소유자)의 영향을 받지 않습니다.

다음 비디오는 Snyk 웹 UI의 애플리케이션 분석 커버리지 보기에 대한 개요를 제공합니다.

이슈 (Issues)

Issues 섹션에는 분석된 열린 이슈에 대한 정보가 있습니다.

• 카테고리별 열린 이슈 (Open issues by category) - 이 그래픽은 이슈 소스 카테고리(SAST, SCA, Container, Secrets) 및 선택한 보기별로 분류된 이슈 수에 대한 명확한 개요를 제공합니다 (자산 클래스, 애플리케이션 및 소유자 간의 비교 가능).

• 열린 이슈 분석 (Open issues breakdown) - 이 그래픽은 열린 이슈의 백로그에 대한 정보를 제공합니다. 특히 높은 자산 클래스나 전략적 애플리케이션의 경우 하향 트렌드가 바람직합니다. 선택한 보기를 통해 자산 클래스, 애플리케이션 및 소유자를 비교할 수 있습니다.

자산 클래스, 애플리케이션 또는 소유자를 기준으로 이슈를 보도록 선택할 수 있습니다. 표시되는 정보의 초점은 View by 선택에 따라 변경됩니다. 애플리케이션 또는 소유자별로 볼 때는 이슈가 가장 많은 상위 5개의 애플리케이션 또는 소유자만 표시됩니다.

제시된 데이터 위에 마우스를 올리면 각 그래픽에 대한 더 자세한 내용을 볼 수 있습니다. 각 그래픽의 오른쪽에는 이미지를 다운로드할 수 있는 추가 컨트롤이 있습니다.

다음 비디오는 Snyk 웹 UI의 애플리케이션 분석 이슈 보기에 대한 개요를 제공합니다.

자산 (Assets)

Assets 섹션에는 분석된 자산에 대한 정보가 있습니다.

• 리스크 요인 분석 (Risk factors breakdown) - 코드 리포지토리 및 컨테이너 이미지에서 리스크 요인의 진행 과정을 보여주는 퍼널(funnel)입니다. 각 레이어는 선택한 보기(자산 클래스, 애플리케이션 또는 소유자)에 따라 나뉩니다. 애플리케이션 또는 소유자별로 볼 때는 리스크 요인이 있는 자산 수에 따라 상위 5개의 애플리케이션 또는 소유자만 표시됩니다.

• 도입된 새 자산 (New assets introduced) - 시간 경과에 따른 인벤토리 크기를 추적할 수 있습니다. 트렌드는 리포지토리와 컨테이너 이미지의 수만 집계합니다. 애플리케이션 또는 소유자별로 볼 때는 자산이 가장 많은 상위 5개의 애플리케이션 또는 소유자만 표시됩니다.

자산 클래스, 애플리케이션 또는 소유자를 기준으로 Assets 섹션을 보도록 선택할 수 있습니다. 제시된 정보의 초점은 View by 선택에 따라 변경됩니다.

제시된 데이터 위에 마우스를 올리면 각 그래픽에 대한 더 자세한 내용을 볼 수 있습니다. 각 그래픽의 오른쪽에는 이미지를 다운로드할 수 있는 추가 컨트롤이 있습니다.

다음 비디오는 Snyk 웹 UI의 애플리케이션 분석 자산 보기에 대한 개요를 제공합니다.

메타데이터 완전성 (Metadata completeness)

메타데이터 완전성 섹션은 리포지토리에 대한 애플리케이션 컨텍스트 소스의 메타데이터 완전성에 대한 정보를 제공합니다.

• 리포지토리 메타데이터 완전성 (Repo metadata completeness) - 코드 리포지토리 전반에 걸친 애플리케이션 컨텍스트 메타데이터의 가용성을 표시합니다. 컨텍스트 메타데이터에 대한 자세한 내용은 SCM 통합을 위한 애플리케이션 컨텍스트를 참조하십시오.

• 리포지토리 소스 분포 (Repository source distribution) - 통합 유형(SCM 통합, 타사 통합)별로 분류된 리포지토리에 대한 정보를 제공합니다. 애플리케이션 또는 소유자별로 볼 때는 자산이 가장 많은 상위 5개의 애플리케이션 또는 소유자만 표시됩니다.

다음 비디오는 Snyk 웹 UI의 애플리케이션 분석 리포지토리 메타데이터 완전성 및 소스 분포 보기에 대한 개요를 제공합니다.