SDLC에서 정책 사용
개발자의 로컬 개발 환경(IDE 또는 CLI)부터 Git 기반 워크플로우 및 CI/CD를 거쳐 프로덕션에 이르기까지 SDLC의 모든 단계에 정책을 적용할 수 있습니다.
이러한 다중 보안 및 규정 준수 제어는 수정을 위한 비용과 시간이 가장 적게 드는 개발 프로세스 초기에 이슈가 플래그 지정되도록 보장합니다.
또한, .snyk 파일은 Snyk이 특정 분석 동작을 정의하고 CLI 및 CI/CD 플러그인을 위한 패치를 지정하는 데 사용하는 정책 파일입니다. 자세한 내용은 .snyk 파일을 참조하십시오.
프로젝트 또는 조직에 정책 할당
보안 정책(security policies)과 라이선스 정책(license policies) 모두 프로젝트 속성 및 조직에 정책을 적용할 수 있습니다. 이를 통해 프로젝트와 조직에 정책을 할당할 수 있습니다. 자세한 내용은 프로젝트에 정책 할당 및 조직에 정책 할당을 참조하십시오.
예시: 프로젝트에 라이선스 정책 할당
시나리오:\n회사의 법무 팀은 비즈니스 크리티컬 프론트엔드 애플리케이션에 대해 엄격한 라이선스 준수 제어를 요구하지만, 내부 개발 프로젝트에 대해서는 덜 우려합니다.
이 요구 사항을 충족하려면, 먼저 이 정책을 적용하려는 Snyk 프로젝트에 Critical, Production, Frontend 속성을 추가하십시오.
다음으로, 새로운 라이선스 정책을 생성하고 해당 속성들에 정책을 적용하십시오.
정책 자체에서, 프로젝트에서 식별된 GPL-3.0 및 AGPL-3.0 라이선스와 같은 모든 카피레프트(copyleft) 라이선스에 대해 높은 심각도를 적용할 수 있습니다.\n라이선스 정책을 생성할 때, Snyk이 왜 테스트를 실패시키는지 설명할 것을 권장합니다. 따라서 예를 들어 GPL 라이선스로 인해 빌드가 실패하는 경우, 개발자는 설명을 확인하고 어떤 조치를 취해야 할지 알 수 있습니다. 자세한 내용은 라이선스 정책 및 규칙 생성을 참조하십시오.
이제 이 정책은 선택된 속성이 적용된 모든 프로젝트에 할당되며, Snyk이 해당 프로젝트를 다음에 스캔할 때 발효됩니다.
자세한 내용은 라이선스 정책 (License policies)을 참조하십시오.
예시: 프로젝트에 보안 정책 할당
이전 예시와 유사한 프로세스를 사용하여, 알려진 익스플로잇이 없는 FrontEnd 환경의 모든 Medium 심각도 취약점을 자동으로 무시하도록 보안 정책을 정의할 수 있습니다.
이제 이 정책은 선택된 속성이 적용된 모든 프로젝트에 할당되며, Snyk이 해당 프로젝트를 다음에 스캔할 때 발효됩니다.
자세한 내용은 보안 정책 (Security policies)을 참조하십시오.
GitHub 리포지토리에 정책 적용
Snyk에 의해 모니터링되는 GitHub 프로젝트의 경우, 기여 개발자의 모든 새로운 풀 리퀘스트는 해당 프로젝트에 할당된 정책에 대해 확인될 수 있습니다. 이를 통해 정책을 위반하는 코드가 리포지토리에 커밋되지 않도록 보장합니다.
Snyk의 PR 확인 기능에 대한 자세한 내용은 PR 확인 (PR Checks)을 참조하십시오.
다음은 JavaScript 패키지 라이선스에 대한 PR 확인 예시입니다.
이 예시는 JavaScript 애플리케이션에 fullpage.js 패키지를 추가하기 위한 풀 리퀘스트를 보여줍니다. 패키지의 최신 버전에는 알려진 취약점이 없어 보안 정책 확인은 통과하지만, 회사의 라이선스 정책을 위반하는 GPLv3 라이선스가 포함되어 있어 라이선스 정책 확인은 실패합니다.
CI/CD에 정책 적용
할당된 정책은 CI/CD에서 발효되어 빌드가 보안 및 규정 준수 경계를 준수하도록 보장합니다.
Last updated