자산 및 위험 요소
Snyk 웹 UI의 이슈(Issues) 메뉴 기능은 애플리케이션 컨텍스트를 이해하여 보안 이슈의 우선순위를 더 잘 정할 수 있도록 돕습니다. 애플리케이션이 어떻게 구성되어 있는지 파악하고, 그 정보를 바탕으로 Snyk Essentials 플랜을 위한 자산 및 이슈의 분류와 우선순위 지정을 제공하며, 특정 리스크 요인 및 증거 그래프(evidence graph) 정보를 추가합니다.
자산 (Assets)은 Snyk 이슈를 사용하여 분석되며, 이미지, Kubernetes 리소스 및 패키지에 집중하여 이들이 서로 어떻게 상호 작용하는지 파악합니다.
리스크 요인 (Risk factors)은 Snyk 이슈를 사용하여 분석되며 세 가지 주요 카테고리로 그룹화됩니다.
자산 (Assets)
Snyk 이슈는 이 페이지에서 설명하는 자산들을 분석합니다.
이미지 (Images)
이미지는 Docker 이미지를 나타내는 자산입니다. Snyk Container는 Docker 이미지에 대해 보안 스캔을 수행합니다. 이미지는 Snyk Container에 의해 수행된 스캔으로 생성된 Snyk 프로젝트와 일대다(1:N)로 매핑될 수 있습니다. Docker 이미지는 SHA로 표현되는 고유 ID를 가집니다. Snyk은 서로 다른 Snyk 프로젝트에 매핑되어 있더라도 동일한 이미지를 상관 관계를 분석하기 위해 이 고유 ID를 사용합니다.
Kubernetes 리소스
Kubernetes 리소스는 Kubernetes 객체를 나타내는 자산입니다. Kubernetes 커넥터는 Kubernetes 클러스터에서 리소스 정보를 수집합니다.
Kubernetes 리소스는 Snyk 프로젝트에 직접 매핑되지 않습니다. 이들은 이 페이지의 나머지 부분에서 자세히 설명하는 특정 리스크 요인을 계산하는 데 사용되는 내부 엔터티입니다. 이러한 리스크 요인은 패키지 및 이미지와 관련될 수 있습니다.
패키지 (Packages)
패키지는 소프트웨어 패키지를 나타내는 자산입니다. Snyk Open Source 및 Snyk Code 제품은 파일에 대해 보안 스캔을 수행합니다. 이러한 파일은 각각 패키지 관리자 선언과 소프트웨어 패키지의 소스 코드를 나타냅니다. 패키지는 해당 소프트웨어 패키지의 표현입니다.
패키지는 Snyk Open Source 및 Snyk Code에 의해 수행된 스캔으로 생성된 Snyk 프로젝트와 일대일(1:1)로 매핑될 수 있습니다. 이러한 제품에 의해 식별되고 해당 프로젝트에 기인한 모든 이슈는 패키지 엔터티에 매핑됩니다.
패키지라는 용어는 매우 포괄적인 추상화입니다. 버전 정보를 가지지 않습니다. 이는 특정 시점의 소프트웨어 패키지 현재 상태를 나타냅니다. 그 시점은 Snyk 프로세싱 파이프라인이 완료된 시간과 당시의 Snyk 프로젝트 상태에 의해 결정됩니다.
Snyk Open Source는 패키지 종속성 매니페스트에 선언된 타사 종속성을 지칭하기 위해 패키지라는 단어를 사용합니다. Snyk은 현재 타사 종속성의 세부 정보를 노출하지 않습니다. 그러나 우선순위 지정 데이터 모델 관점에서는 타사 패키지와 자사 패키지 사이에 구분이 없습니다. 이들은 해당 시점의 패키지 객체로 표현됩니다.
리스크 요인 (Risk factors)
이미지, 패키지 및 Kubernetes 리소스를 "애플리케이션 컨텍스트"로 이해함으로써 Snyk은 다음과 같은 리스크 요인을 계산할 수 있습니다.
그룹 Settings의 Issues 탭에서 이러한 "애플리케이션 컨텍스트" 리스크 요인을 모두 활성화하거나 비활성화할 수 있습니다. 리스크 요인, 공급업체 선택 또는 Kubernetes 클러스터 매핑을 비활성화하도록 선택하면 Snyk은 더 이상 이를 계산하지 않습니다.
애플리케이션에 활성화된 통합 옵션에 따라 리스크 요인이 다르게 적용됩니다. 그룹 설정에서 사용 가능한 Insights 옵션을 사용자 정의하여 통합의 우선순위를 정할 수 있습니다.
리스크 요인은 StatefulSet, DaemonSet, Deployment와 같은 Kubernetes 구성 요소인 상태 저장 엔터티에 대해 지원됩니다.
리스크 요인 설정이 적용되는 데 최대 4시간이 걸릴 수 있습니다.
Last updated