수정을 위한 문제 우선순위 지정
Snyk 내에서의 우선순위 지정은 Snyk 플랜에 따라 여러 이름과 다양한 사용자 정의 옵션으로 제공됩니다. 다음 목록은 우선순위 지정을 찾아보고 사용할 수 있는 모든 위치에 대한 개요를 제공합니다. 출력 결과는 선택한 우선순위 유형에 따라 달라질 수 있습니다.
한 가지 유형의 우선순위 지정에만 집중하거나, 즉각적인 주의가 필요한 이슈에 대해 더 복잡하고 타겟팅된 집중을 위해 여러 유형을 조합할 수 있습니다. 취약점, 보안 프로그램 및 커버리지(보안 관점)에 대해 우선순위 지정을 사용하거나, 프로젝트의 보고(Reporting) 섹션에서 사용할 수 있습니다.
예를 들어, 리포지토리의 프로젝트에 대해서만 우선순위를 지정하면 이슈 목록이 더 일반적입니다. 그러나 Snyk Essentials에서 사용 가능한 '이슈(Issues)'와 함께 우선순위 지정을 사용하기로 선택하면, 분석된 이슈가 여러 다른 요인(리스크 요인, 자산)을 통해 필터링되어 더 복잡하고 타겟팅된 필터를 기반으로 이슈 우선순위 목록이 생성되므로 귀하의 요구 사항에 따라 우선순위 지정을 사용자 정의할 수 있습니다.
프로젝트 레벨에서의 우선순위 지정
프로젝트 우선순위 지정
중점을 두고 싶은 프로젝트 유형별로 리포지토리의 프로젝트 우선순위를 지정하십시오. 예를 들어, 심각도에 따라 프로젝트의 우선순위를 정할 수 있습니다.
이러한 유형의 우선순위 지정을 사용하면 프로젝트를 그룹화하고, 필터링하며, 정렬할 수 있습니다.
다음 필터를 기반으로 프로젝트 우선순위를 지정하십시오.
이슈 있음 (With issues): 이슈가 있는 프로젝트만 표시합니다.
이슈 없음 (Without issues): 이슈가 없는 프로젝트만 표시합니다.
통합 (Integrations): Snyk으로 가져온 통합된 Git 리포지토리를 표시합니다.
다음 Snyk 플랜 중 하나를 사용하여 이러한 유형의 우선순위 지정을 사용할 수 있습니다.
Snyk Free/Team 플랜
Snyk 엔터프라이즈 플랜
Snyk 그룹 레벨 및 Snyk 조직 레벨에서 프로젝트의 우선순위를 지정할 수 있습니다.
프로젝트 내 이슈 우선순위 지정
다음 사용자 정의 필터 중 하나를 사용하여 프로젝트 내 이슈의 우선순위를 지정하십시오.
이슈 유형
심각도
수정 가능 여부
익스플로잇 성숙도
상태
다음 Snyk 플랜 중 하나를 사용하여 이러한 유형의 우선순위 지정을 사용할 수 있습니다.
Snyk Free/Team 플랜
Snyk 엔터프라이즈 플랜
Snyk 조직 레벨에서 프로젝트의 우선순위를 지정할 수 있습니다.
보고(Reporting) 내에서의 우선순위 지정
우선순위 점수(Priority Score) 및 리스크 점수(Risk Score) 우선순위 지정
Snyk 웹 UI에서 보고(Reporting) 옵션을 사용하고 필터 목록에서 원하는 프로젝트를 선택할 때, 우선순위 점수와 리스크 점수 모두를 우선순위 지정 도구로 사용할 수 있습니다.
우선순위 점수는 긴급성에 집중하며 CVSS 점수, 트렌드 취약점, 도달 가능성, 익스플로잇 가용성 및 기타 요인과 같은 다양한 기준에 따라 보안 이슈의 순위를 매깁니다. 반면, 리스크 점수는 익스플로잇 가능성 및 시스템에 미치는 잠재적 영향과 같은 애플리케이션의 컨텍스트와 심각도를 모두 고려하여 취약점과 연관된 전반적인 위험을 평가합니다. 우선순위 점수가 팀이 가장 시급한 위협을 처리하는 데 도움을 준다면, 리스크 점수는 보안 태세에 대한 포괄적인 보기를 제공합니다.
우선순위 점수 (Priority Score)
우선순위 점수는 긴급성에 따라 순위를 매겨 팀이 중대한 보안 취약점을 신속하게 식별하고 해결할 수 있도록 돕습니다.
우선순위 점수는 다음과 같은 여러 산업 표준 기준에 따라 결정됩니다.
CVSS 점수
트렌드 취약점
도달 가능성 (Reachability)
익스플로잇 가용성
기타 요인
다음 Snyk 플랜 중 하나를 사용하여 이러한 유형의 우선순위 지정을 사용할 수 있습니다.
Snyk Free/Team 플랜
Snyk 엔터프라이즈 플랜
Snyk 조직 레벨에서 우선순위 점수를 사용할 수 있습니다.
리스크 점수 (Risk Score)
리스크 점수는 취약점의 잠재적 영향을 평가하여 심각한 결과를 초래하는 취약점의 우선순위를 정합니다. 리스크 점수를 사용하여 잠재적 영향과 익스플로잇 가능성에 기반해 각 보안 이슈에 대한 자동 리스크 분석을 수행할 수 있습니다.
다음 Snyk 플랜 중 하나를 사용하여 이러한 유형의 우선순위 지정을 사용할 수 있습니다.
Snyk Free/Team 플랜
Snyk 엔터프라이즈 플랜
Snyk 조직 레벨에서 리스크 점수를 사용할 수 있습니다.
보고서 사용 시 이슈 우선순위 지정
조직 또는 그룹 전체에 걸쳐 보고서를 생성하기 위해 보고서 사용 시 이슈 우선순위를 지정할 수 있습니다.
Snyk 엔터프라이즈 플랜에서 이러한 유형의 우선순위 지정을 사용할 수 있습니다. Snyk 그룹 또는 Snyk 조직 레벨에서 리스크 점수를 사용할 수 있습니다.
리스크에 기반한 우선순위 지정
Snyk의 이슈를 활용한 우선순위 지정은 총체적인 애플리케이션 인텔리전스를 사용하여 컨테이너, 코드 및 오픈소스 이슈가 애플리케이션에 제기하는 리스크를 기반으로 이를 식별하고 우선순위를 정하는 데 도움을 줍니다. Snyk 정책에 정의된 자산 분류에 따라 이슈의 우선순위를 정할 수 있습니다.
Insights를 활용한 우선순위 지정을 사용하여 컨테이너, 코드 및 오픈소스 이슈가 애플리케이션에 제기하는 리스크를 기반으로 이를 식별하고 우선순위를 정할 수 있습니다. 사용할 수 있는 리스크 요인은 다음과 같습니다.
배포됨 (Deployed)
로드된 패키지 (Loaded package)
OS 조건 (OS condition)
외부 노출 (Public facing)
Snyk 그룹 또는 Snyk 조직 레벨에서 Insights를 활용한 우선순위 지정을 사용할 수 있습니다.
커버리지 및 보안 프로그램에 기반한 우선순위 지정
Snyk 이슈 분석(Issues Analytics)은 전체 애플리케이션 보안 프로그램에 대한 포괄적인 개요를 제공하여 테넌트 레벨에서의 강점, 약점 및 기회에 대한 인사이트를 제공합니다. 반면, Snyk 애플리케이션 분석(Application Analytics)은 개별 애플리케이션의 보안 및 성능에 구체적으로 집중합니다. 이러한 더 좁은 범위의 분석은 특정 앱의 취약점과 비효율성을 핀포인트로 찾아내어, Snyk 그룹 또는 조직 레벨에서 타겟팅된 개선과 더 상세한 인사이트를 가능하게 합니다.
이슈 분석 (Issue Analytics)
이슈 분석은 AppSec 프로그램의 성과에 대한 보기를 제공합니다. 이슈 분석을 사용하여 프로그램의 강점과 약점을 더 잘 이해하고, 성공적인 관행을 식별할 수 있는 위치를 파악하며, 투자가 필요한 가장 큰 개선 기회를 발견할 수 있습니다.
Snyk 엔터프라이즈 플랜에서 이러한 유형의 우선순위 지정을 사용할 수 있습니다.
Snyk 그룹 및 Snyk 조직 레벨을 포함한 Snyk 테넌트 레벨에서 이슈 분석을 사용할 수 있습니다.
애플리케이션 분석 (Application Analytics)
Snyk의 애플리케이션 분석은 하향식 접근 방식으로 AppSec 프로그램을 평가하는 데 도움을 줍니다. 애플리케이션, 팀 및 자산 클래스를 검토한 다음 특정 자산에 집중할 수 있게 해줍니다. 개선이 필요한 영역을 식별하고, 리스크를 인식하며, 사각지대를 해결함으로써 보안을 개선할 수 있습니다. 이 도구는 테넌트에 사용 가능한 모든 그룹의 데이터를 가져옵니다.
사용 가능한 필터, 차원 보기 및 특정 시간 범위를 사용하여 표시된 데이터의 우선순위를 정하십시오.
필터:
그룹
이슈 심각도
자산 기반 필터
다음을 기준으로 보기:
자산 클래스
애플리케이션
소유자
우선순위 지정 전략
Snyk은 발견한 이슈 중 어떤 것이 수정하기에 가장 중요한지, 그리고 어떤 순서로 이슈를 수정해야 하는지 결정하는 데 도움이 되는 여러 기능을 제공합니다.
일부 도구는 심각도라는 단일 요인만을 사용하여 이슈의 우선순위를 정하지만, 이는 수천 개의 결과로 이어져 이슈 수정을 시작할 명확한 지점을 찾기 어렵게 만들 수 있습니다.
특정 프로젝트를 볼 때 프로젝트 레벨에서 우선순위를 정할 수 있습니다. 엔터프라이즈 고객은 모든 프로젝트에 걸쳐 우선순위를 정할 수 있습니다.
Snyk 우선순위 점수 및 리스크 점수는 이슈의 심각도와 수정의 긴급성 순위를 매깁니다. 자세한 내용은 우선순위 점수 vs 리스크 점수, 우선순위 점수 및 리스크 점수를 참조하십시오.
이슈 관리 전략을 수립하기 위해 이슈를 무시하고 이슈를 분류(triage)할 수 있습니다.
취약점이 어떻게 악용될 수 있는지 확인하려면 익스플로잇 보기를 참조하십시오. 그런 다음 각 이슈에 대한 Snyk 우선순위 점수의 안내를 사용하여 취약점 평가 및 우선순위 지정을 시작할 수 있습니다.
악성 패키지와 프로젝트에서 이를 어떻게 처리해야 하는지 고려하십시오.
코드에 경로가 있는 취약점을 식별하기 위해 도달 가능한 취약점 분석(reachable vulnerability analysis)을 설정할 수 있습니다. 이는 우선순위 점수의 일부로 계산됩니다.
소셜 트렌드(Social Trends)가 있는 취약점은 우선순위 점수의 일부로 계산됩니다.
우선순위에 따라 취약점 수정을 시작할 수 있습니다.
우선순위 지정이 실제로 어떻게 작동하는지 알아보려면 Snyk 웹 UI에서 이슈 우선순위 지정을 참조하십시오.
우선순위 이슈에 집중하는 데 도움이 되는 Snyk 프로젝트의 많은 기능을 사용할 수 있습니다.
프로젝트 컬렉션 그룹화를 확인합니다.
Last updated