사용 가능한 Snyk 보고서

다음과 같은 보고서들을 사용할 수 있습니다.

• 이슈 상세 보고서 (Issues Detail report)

• 이슈 요약 보고서 (Issues Summary report)

• 취약점 상세 보고서 (Vulnerabilities Detail report)

• 주요 제로데이 보고서 (Featured Zero-Day report)

• SLA 관리 보고서 (SLA Management report)

• OWASP TOP 10 보고서

• CWE TOP 25 보고서

• CWE TOP 10 KEV 보고서

• PCI-DSS v4.0.1 보고서

• 개발자 IDE 및 CLI 사용량 보고서

• CI/CD에서 테스트된 리포지토리 보고서 (Repositories Tested in CI/CD report)

• 클라우드 규정 준수 이슈 보고서 (Cloud Compliance Issues report)

• Learn 참여도 (Learn Engagement)

• 학습 영향 및 기회 (Learning Impact & Opportunities)

• Snyk 생성 풀 리퀘스트 (Snyk Generated Pull Requests)

• 자산 대시보드 (Asset Dashboard)

• 리스크 노출 보고서 (Risk exposure report)

• 저장된 보기 (Saved Views)

• PR 확인 보고서 (PR Check Report)

표시되는 보고서를 변경하려면 Change Report를 선택하십시오.

이슈 상세 보고서

이슈 상세 보고서는 Snyk에 의해 모니터링되고 있는 모든 프로젝트의 알려진 모든 이슈를 표시합니다. 이 보고서는 각 이슈에 대한 세부 정보와 영향을 받는 프로젝트를 제공하며, 수정 정보에 대한 링크를 제공합니다.

이슈 상세 보고서는 이슈의 수뿐만 아니라 이슈를 구성하는 고유한 취약점의 수도 표시합니다.

심각도(Severity), 제품 이름(Product Name), 이슈 유형(Issue Type) 등의 카테고리별로 빠른 집계가 가능합니다.

개별 이슈는 선택한 카테고리에 따라 테이블에 표시됩니다. 필요에 따라 열을 수정할 수 있습니다.

고유 취약점만 있는 테이블을 보려면 Change Report를 사용하여 취약점 상세 보고서로 전환하십시오.

이슈 요약 보고서

이슈 요약 보고서는 이슈의 식별과 해결을 모두 가능하게 함으로써 Snyk이 제공하는 가치를 강조합니다.

이 보고서는 팀이 워크플로우를 위해 Snyk 플랫폼 사용을 얼마나 잘 최적화하고 있는지에 대한 단상을 제공하며, 보안을 측정하고 개선하기 위한 수단을 제공합니다.

이 보고서를 통해 보안 리스크가 가장 높은 항목의 현재 상태와 트렌드를 쉽게 이해할 수 있습니다. 또한 리스크가 어디서 발생하는지, 해결 노력이 어디에서 가장 효과적이고 덜 효과적인지에 대한 빠른 보기를 제공합니다.

보고서 상단에서 선택한 날짜 범위의 보안 이슈와 연관된 주요 메트릭을 이전 순차적 기간의 결과와 비교하여 추적할 수 있습니다. 이를 통해 트렌드에 대한 인사이트를 얻을 수 있습니다. 메트릭의 정의는 Snyk 웹 UI의 툴팁을 참조하십시오.

이슈 식별 및 해결 (Issues Identified and Resolved) 트렌드는 선택한 날짜 범위 동안 식별 및 해결된 누적 보안 이슈를 포착합니다. 두 선 사이의 간격은 열린 이슈 백로그를 나타냅니다.

이 시각적 트렌드를 통해 너무 많은 이슈가 도입되고 있는지 식별할 수 있으며, 이는 예방(prevention)이 더 높은 우선순위가 되어야 함을 의미합니다. 반대로 이슈가 충분히 해결되지 않고 있다면, MTTR 및 SLA와 같은 메트릭을 추가로 분석해야 함을 의미합니다.

노출 기간 (Exposure Window) 트렌드를 검토하면 미리 정의된 기간 내에 열려 있는 보안 이슈의 용량을 식별할 수 있습니다. 이는 심각도, 익스플로잇 성숙도 또는 자산 클래스와 같은 속성별로 필터링하고 민감한 자산에 대한 가장 치명적인 이슈가 제때 해결되고 있는지 확인할 때 추적해야 할 관련 메트릭입니다.

주별 해결 시간 (Time to Resolve by Week) 트렌드는 미리 정의된 기간 내에 해결된 이슈 수에 대한 가시성을 제공하여 시간 경과에 따른 해결 성과를 측정할 수 있게 해줍니다.

리스크 분석 (Risk breakdown) 테이블은 집중해야 할 부분에 대해 데이터 기반의 의사 결정을 내리는 데 도움을 줍니다. 이 테이블을 통해 여러 각도에서 성과 메트릭을 검토할 수 있습니다.

차원 선택기(dimension picker)를 사용하여 다음을 탐색하십시오.

• 프로젝트 (Projects) - 조직 레벨에서 사용 가능. 주의가 필요한 프로젝트를 정확히 찾아낼 수 있게 해줍니다.

• 조직 (Organizations) - 그룹 레벨에서 사용 가능. 성과에 기반하여 Snyk 조직을 노출합니다.

• 자산 클래스 (Asset Classes) - 가장 민감한 자산의 보안을 먼저 확보하도록 노력이 우선순위화되었는지 확인합니다.

• 도입 카테고리 (Introduction Categories) - 새로운 예방 가능 이슈의 백분율 변화를 살펴보고, 새로운 모니터링 자산이 AppSec 프로그램에 미치는 영향을 평가하여 예방 가능 이슈가 적절히 처리되고 있는지 판단할 수 있게 해줍니다. 이는 Baseline Issue 카테고리 아래에서 볼 수 있습니다.

취약점 상세 보고서

취약점 상세 보고서는 이슈 상세 보고서와 유사하지만, 이슈를 Snyk 문제 ID(Snyk 취약점 DB 참조)별로 그룹화하여 보여줍니다.

특정 취약점의 인스턴스가 얼마나 존재하는지, 얼마나 많은 프로젝트가 영향을 받는지 쉽게 확인할 수 있습니다. 해결 및 예방 사례 모두에 대해 어떤 취약점이 가장 널리 퍼져 있는지 이해하기 위해 이 보고서를 사용하십시오.

총 이슈 테이블을 보려면 Change Reports를 사용하여 이슈 상세 보고서로 전환하십시오.

주요 제로데이 보고서

이 보고서는 글로벌 AppSec 커뮤니티에서 상당한 파장과 관심을 불러일으키는 새로운 제로데이 취약점을 관리하고 해결하기 위한 주요 시나리오를 다룹니다.

이 보고서를 사용하여 다양한 타겟과 프로젝트에 걸쳐 제로데이 발표에서 강조된 이슈에 대한 노출 정도를 파악하십시오. 이 보고서는 제로데이 이슈의 우선순위를 정하고 남은 발생 건수에 대한 해결 노력의 진행 상황을 모니터링하는 데 도움을 줍니다.

Snyk의 보안 팀은 하루에도 여러 번 새로운 취약점으로 취약점 데이터베이스를 지속적으로 업데이트합니다. 팀이 많은 고객에게 영향을 미치는 높은 심각도의 널리 사용되는 패키지에서 중대한 새로운 제로데이 취약점을 발견하면, 제로데이 이벤트로 공지되고 처리됩니다.

새로운 제로데이 이벤트가 공지되면, 노출에 대한 더 깊은 이해를 위해 먼저 영향을 받는 타겟 (Impacted Targets) 테이블을 조사하십시오. 프로젝트 수명 주기(Project Lifecycle), 환경(Environment) 또는 프로젝트 중요도(Project Criticality)와 같은 필터를 사용하여 외부로 노출되거나 높은 중요도를 가진 프로덕션 환경의 프로젝트와 연관된 타겟에만 집중하십시오. 이러한 인사이트를 얻는 것은 프로젝트 속성의 가용성에 달려 있습니다.

다음으로, 모든 이슈 (All Issues) 테이블로 이동하여 해결이 필요한 이슈의 우선순위 목록을 작성하십시오. 일반적으로 우선순위는 Snyk 리스크 점수 또는 NVD CVSS 점수에 의해 결정되며, 민감한 타겟 내의 취약점 해결에 강조를 둡니다. 프로젝트 수명 주기, 환경 또는 프로젝트 중요도 기반의 필터를 적용하여 이러한 타겟을 즉시 식별하고 해결하십시오.

해결 진행 상황과 효과를 지속적으로 모니터링하려면 트렌드 다이어그램을 참조하십시오. 누적 이슈 백로그 트렌드 (Accumulative Issues Backlog Trend) 다이어그램은 식별된 이슈와 해결된 이슈 사이의 주간 델타를 누적하여 제로데이 백로그의 주간 변화를 보여줍니다. 이 다이어그램을 사용하여 R&D 팀이 제로데이 백로그를 일관되게 줄이고 있는지 확인하십시오. 이는 음의 트렌드 라인으로 표시됩니다.

병행하여, 시간에 따른 식별된 이슈 대 해결된 이슈 (Issues Identified versus Resolved over Time) 다이어그램을 검토하여 새로운 이슈 도입을 예방하는 데 더 중점을 둘지, 아니면 해결 노력을 가속화할지 결론을 내리십시오.

SLA 관리 보고서

이 보고서는 FedRAMP와 같은 일반적인 보안 표준을 기반으로 심각도별 기본 SLA 목표 세트를 제시합니다. 이러한 SLA 목표는 귀하의 보안 요구 사항에 맞게 수정될 수 있습니다.

이슈의 SLA 상태는 다음과 같을 수 있습니다.

• Within SLA (SLA 이내) - 이슈의 기간이 SLA 목표를 초과하지 않았으며, 위반 전까지 충분한 리드 타임이 있을 것으로 예상됩니다.

• At Risk (위험) - 이슈가 SLA 위반에 근접한 것으로 간주되어 "At Risk"로 플래그 지정됩니다.

• Breached (위반) - 이슈의 기간이 SLA 목표를 초과했습니다.

이슈의 SLA 상태는 다음과 같을 수 있습니다.

• Within SLA (SLA 이내) - 이슈의 기간이 SLA 목표를 초과하지 않았으며, 위반 전까지 충분한 리드 타임이 있을 것으로 예상됩니다.

• At Risk (위험) - 이슈가 SLA 위반에 근접한 것으로 간주되어 "At Risk"로 플래그 지정됩니다.

• Breached (위반) - 이슈의 기간이 SLA 목표를 초과했습니다.

SLA target을 편집하고 위반 전 위험 기간(일) (At risk duration before breach (days)) 필드를 설정하여 SLA 목표와 이슈의 "At Risk" 상태 전환을 제어할 수 있습니다.

SLA 보고서에는 SLA 카테고리 아래에 추가 필터가 포함되어 있어, SLA 목표와 관련된 이슈의 기간을 더 잘 식별할 수 있게 해줍니다.

• SLA 상태 (SLA status) - 특정 SLA 상태에 따라 보고서를 필터링할 수 있습니다.

• 이슈 기간 (Issue age) - 특정 기간 범위 내의 이슈를 발견할 수 있게 해줍니다.

• 위반까지 남은 시간 (Time until breach) - 며칠 내에 SLA 목표를 위반할 이슈를 식별합니다.

보고서 URL을 공유하여 미리 정의된 SLA 목표가 포함된 보고서를 공유하거나, 브라우저에 해당 웹 페이지를 즐겨찾기하여 미리 정의된 SLA 보고서로 돌아올 수 있습니다.

열린 이슈 (Open issues) 섹션에서, **SLA 심각도 분석 (SLA severity breakdown)**은 조회 중인 그룹 또는 조직의 SLA 준수 상태별 심각도 레벨 분포를 보여줍니다.

**SLA 트렌드 (SLA trend)**는 시간 경과에 따른 이슈의 누적 SLA 상태를 보여줍니다.

**SLA 분석 테이블 (SLA breakdown table)**을 사용하면 그룹 보기에서는 조직의, 조직 보기에서는 타겟의 SLA 준수 결과를 비교할 수 있습니다. 테이블은 기본적으로 위반된 이슈의 수에 따라 정렬됩니다.

위반 및 위험 상태의 열린 이슈 (Breached and at-risk open issues) 테이블은 기간 및 SLA 준수 상태에 따라 이슈의 우선순위를 정하는 데 도움을 줍니다. Modify Column 선택기를 사용하여 추가 열을 추가하고 특정 이슈에 대해 더 자세히 알아볼 수 있습니다.

해결된 이슈 (Resolved issues) 섹션을 검토하여 해결된 이슈에 대한 SLA 결과를 확인하고 사후 분석을 수행할 수 있습니다.

OWASP Top 10 보고서

OWASP Top 10은 개발자와 웹 애플리케이션 보안을 위한 표준 인식 문서입니다. 이는 웹 애플리케이션에 대한 가장 치명적인 보안 리스크에 대한 폭넓은 합의를 나타내며, 개발자들에게 더 안전한 코딩을 위한 첫 번째 단계로 전 세계적으로 인정받고 있습니다.

목록의 각 제어 항목(A1, A2 등)은 일반 약점 열거(CWE) 목록을 기반으로 합니다. 예를 들어, A01:2021 – Broken Access Control은 34개의 CWE 목록을 기반으로 합니다.

CWE는 Snyk-ID에 매핑되며, 이는 다시 이슈에 매핑됩니다.

예를 들어, 치명적인 취약점인 SNYK-JAVA-ORGAPACHELOGGINGLOG4J-2314720은 CWE-94로 분류되며, 이는 OWASP TOP 10의 A03:2021 - Injection 카테고리에 속합니다. 이 취약점과 관련된 모든 이슈는 A03 카테고리 아래에 있게 됩니다.

Snyk Learn의 OWASP TOP 10 학습 경로를 사용하여 더 자세히 알아보십시오.

이 보고서는 2021년에 발표된 최신 매핑을 기반으로 합니다. 지원되는 제품은 Snyk 오픈소스, Snyk 컨테이너 및 Snyk Code입니다.

CWE Top 25 보고서

CWE Top 25 가장 위험한 소프트웨어 약점 목록은 취약점(CVE) 심각도 및 익스플로잇 잠재력을 기반으로 현재 가장 흔하고 영향력 있는 소프트웨어 약점을 보여주는 목록입니다.

이 보고서는 Mitre에서 2023년에 발표한 최신 버전을 기반으로 합니다. 지원되는 제품은 Snyk 오픈소스, Snyk 컨테이너 및 Snyk Code입니다.

CWE Top 10 KEV 보고서

CWE Top 10 KEV Weaknesses 목록은 CISA(Cybersecurity and Infrastructure Security Agency)의 알려진 악용된 취약점 (KEV) 카탈로그에서 상위 10개의 CWE를 식별합니다. KEV 카탈로그는 노출되어 공격자들에 의해 활용된 소프트웨어 애플리케이션 보안 결함 및 약점 데이터베이스입니다.

이 보고서는 Mitre에서 2023년에 발표한 버전을 기반으로 합니다. 지원되는 제품은 Snyk 오픈소스, Snyk 컨테이너 및 Snyk Code입니다.

PCI-DSS v4.0.1 보고서

PCI 보안 표준은 카드 회원 데이터를 보호하기 위해 PCI 보안 표준 위원회(PCI SSC)에서 만든 기술 및 운영 요구 사항입니다. 이러한 표준은 이 정보를 저장, 처리 또는 전송하는 모든 엔터티에 적용되며 소프트웨어 개발자 및 제조사를 위한 요구 사항을 포함합니다.

위원회는 이러한 표준을 관리하며, 규정 준수는 창립 멤버인 American Express, Discover Financial Services, JCB, MasterCard 및 Visa Inc.에 의해 시행됩니다.

Snyk PCI-DSS v4.0.1 보고서는 다음을 돕도록 설계되었습니다.

• Snyk 스캔 결과를 기반으로 SCA 및 SAST에 대한 PCI-DSS AppSec 요구 사항 충족 준비 상태 추정.

• 조직이 SCA 및 SAST 취약점에 대해 PCI-DSS AppSec 요구 사항을 충족하고 있음을 보여주는 증거 제공.

• PCI-DSS 규정 준수 준비 상태를 개선하기 위한 이슈 우선순위 지정.

보고서는 다음 PCI-DSS v4.0.1 요구 사항을 기반으로 PCI-DSS 리스크 및 위반 사항을 식별합니다.

1. Requirement 6.2.4: 엔지니어는 맞춤형 및 사용자 정의 소프트웨어에서 일반적인 소프트웨어 공격 및 관련 취약점을 방지하거나 완화하기 위해 다양한 기술을 사용합니다. 여기에는 다음 방법들이 포함되지만 이에 국한되지는 않습니다.

   • SQL, LDAP, XPath 또는 기타 명령, 파라미터, 객체, 결함 또는 인젝션 유형의 결함을 포함한 인젝션 공격.

   • 버퍼, 포인터, 입력 데이터 또는 공유 데이터를 조작하려는 시도를 포함한 데이터 및 데이터 구조에 대한 공격.

   • 약하거나 안전하지 않거나 부적절한 암호화 구현, 알고리즘, 암호화 스위트 또는 작동 모드를 악용하려는 시도를 포함한 암호화 사용에 대한 공격.

   • API, 통신 프로토콜 및 채널, 클라이언트 측 기능 또는 기타 시스템 또는 애플리케이션 기능 및 리소스 조작을 통해 애플리케이션 기능 및 피처를 남용하거나 우회하려는 시도를 포함한 비즈니스 로직에 대한 공격. 여기에는 크로스 사이트 스크립팅(XSS) 및 크로스 사이트 요청 위조(CSRF)가 포함됩니다.

   • 식별, 인증 또는 권한 부여 메커니즘을 우회하거나 남용하려는 시도 또는 그러한 메커니즘의 구현 취약점을 악용하려는 시도를 포함한 액세스 제어 메커니즘에 대한 공격.

   • 요구 사항 6.3.1에 정의된 치명적 취약점에 대한 패치 및 업데이트는 릴리스 후 한 달 이내에 설치됩니다.

2. Requirement 6.3.3: 모든 시스템 구성 요소는 다음과 같이 해당 보안 패치 및 업데이트를 설치하여 알려진 취약점으로부터 보호됩니다.

   • 요구 사항 6.3.1의 리스크 순위 프로세스에 따라 식별된 치명적 취약점에 대한 패치 및 업데이트는 릴리스 후 한 달 이내에 설치됩니다.

PCI-DSS 공격 카테고리에 기반한 Snyk 위반 분석

표준에서 특정 CWE나 CVE를 명시적으로 정의하지 않으므로, Snyk은 명명된 공격 카테고리와 연관된 주요 CWE를 기반으로 분석을 제공합니다. 다음은 공격 유형별로 분류된 CWE입니다.

인젝션 공격 위반 요약 (Injection Attack Violations Summary)

다음 목록은 식별된 공격 카테고리와 각 카테고리와 연관된 CWE 간의 연관성을 제공합니다.

• SQL 인젝션: CWE-89

• LDAP 인젝션: CWE-90

• XML 인젝션 (XPath 인젝션): CWE-91

• 커맨드 인젝션: CWE-77

• 안전하지 않은 리플렉션 사용: CWE-470

데이터 및 데이터 구조 공격 위반 요약 (Attacks on Data and Data Structures Violations Summary)

다음 목록은 식별된 공격 카테고리와 각 카테고리와 연관된 CWE 간의 연관성을 제공합니다.

• 버퍼 오버플로우: CWE-120

• NULL 포인터 역참조: CWE-476

• Double Free: CWE-415

• 부적절한 동기화를 통한 공유 리소스의 동시 실행 ('경쟁 상태'): CWE-362

암호화 사용 공격 위반 요약 (Attacks on Cryptography Usage Violations Summary)

다음 목록은 식별된 공격 카테고리와 각 카테고리와 연관된 CWE 간의 연관성을 제공합니다.

• 깨지거나 위험한 암호화 알고리즘 사용: CWE-327

• 불충분하게 무작위한 값 사용: CWE-330

• 암호화 서명의 부적절한 검증: CWE-347

• 민감한 정보의 일반 텍스트 전송: CWE-319

• 하드코딩된 암호화 키 사용: CWE-321

비즈니스 로직 공격 위반 요약 (Attacks on Business Logic Violations Summary)

다음 목록은 식별된 공격 카테고리와 각 카테고리와 연관된 CWE 간의 연관성을 제공합니다.

• 서버 측 요청 위조 (SSRF): CWE-918

• 크로스 사이트 요청 위조 (CSRF): CWE-352

• 크로스 사이트 스크립팅 (XSS): CWE-79

• 출처 검증 오류: CWE-346

• 부적절한 권한 부여: CWE-285

• 승인되지 않은 행위자에게 민감한 정보 노출: CWE-200

액세스 제어 메커니즘 공격 위반 요약 (Attacks on Access Control Mechanisms Violations Summary)

다음 목록은 식별된 공격 카테고리와 각 카테고리와 연관된 CWE 간의 연관성을 제공합니다.

• 부적절한 인증: CWE-287

• 부적절한 액세스 제어: CWE-284

• 잘못된 권한 부여: CWE-863

• 사용자 제어 키를 통한 권한 부여 우회: CWE-639

• 중요한 기능에 대한 인증 누락: CWE-306

• 인증 알고리즘의 잘못된 구현: CWE-303

액세스 제어 메커니즘 공격 위반 요약 (Attacks on Access Control Mechanisms Violations Summary)

권한 부여 누락(Missing Authorization) 공격 카테고리는 CWE-862와 연관되어 있습니다.

PCI-DSS v4.0.1 안내

보고서는 기본적으로 치명적 심각도의 열린 이슈에 대해 필터링됩니다. 이러한 필터는 보고서를 PDF로 내보낼 때도 적용됩니다.

PCI-DSS 준비 상태 트렌드 (PCI-DSS Readiness Trend)

PCI-DSS 준비 상태 트렌드는 PCI-DSS 위반 사항을 제거하기 위한 진행 상황을 추적하는 데 도움을 주도록 설계되었습니다. 위반 사항은 요구 사항 6.2.4에서 설명한 PCI-DSS 공격 카테고리에 의해 선별된 치명적 취약점 중, 요구 사항 6.3.3에 명시된 대로 30일이 지난 것으로 정의됩니다.

왼쪽의 숫자는 위반 상태와 지난 7일 동안 이루어진 진전을 나타냅니다.

트렌드는 요구 사항 6.2.4에 따른 모든 취약점을 기간별 버킷(age bucket)으로 분류하여 보여줍니다. 이를 통해 잠재적인 위반 사항과 곧 위반 사항이 될 취약점을 신속하게 식별할 수 있습니다.

공격 카테고리 분석 (Attack category breakdown)

분석 테이블은 해당 기간별 버킷을 기준으로 공격 카테고리(요구 사항 6.2.4에 따름) 또는 Snyk 조직별 취약점 수를 식별하는 데 도움을 줍니다.

테이블을 사용하여 PCI-DSS 위반을 초래하는 주요 공격 카테고리나 Snyk 조직을 핀포인트로 찾아내십시오. 수치를 클릭하여 구체적인 이슈를 더 자세히 탐색할 수 있습니다.

개발자 IDE 및 CLI 사용량 (Developer IDE and CLI usage)

이 보고서를 사용하려면 다음 필수 구성 요소를 설치해야 합니다.

• Snyk CLI

  • 버전 1.1292.1 이상 (CLI 및 IDE 플러그인 사용 시)

  • 버전 1.1297.0 이상 (일반 에이전틱 스캔 - MCP를 통한 Snyk Studio 사용 시)

  • 버전 1.1298.1 이상 (세분화된 에이전틱 스캔 - MCP 호스트 등 사용 시)

• VS Code 1.86.0 이상 및 Snyk Security 플러그인 2.3.3 이상

• IntelliJ IDE 2023.3 이상 및 Snyk Security 플러그인 2.7.3 이상

• Visual Studio 2019, 2022 및 Snyk Security 플러그인 1.1.47 이상

• Eclipse 2023.12 이상 및 Snyk Security 플러그인 2.1.0 이상

이 보고서는 IDE 플러그인 사용, 로컬 CLI 사용 또는 에이전틱 워크플로우에 Snyk Studio 통합을 통한 로컬 개발 단계에서의 Snyk 테스트 채택 현황을 보여줍니다. 이 보고서는 그룹 및 조직 레벨의 Change Report 드롭다운에서 사용할 수 있습니다.

보안 팀은 이 보고서를 사용하여 강력한 시프트 레프트(shift-left) 행동을 다른 팀에 전파할 모범 사례로 보여줄 수 있습니다. 또한 이 보고서는 팀이나 개별 개발자가 Snyk을 로컬에서 채택하지 않은 곳을 보여줍니다. 회사는 이 보고서를 사용하여 더 많은 시프트 레프트 행동을 장려할 수 있습니다.

이 보고서는 개발자의 IDE, CLI 및 Snyk Studio 테스트 사용량을 보여줍니다. 팀은 날짜 및 조직별로 필터링할 수 있습니다. 보고서에는 다음과 같은 메트릭에 대한 가시성이 포함됩니다.

스캔을 실행하는 총 개발자 수와 IDE, CLI 및 에이전틱 통합(Snyk Studio)에서의 스캔 횟수

스캔 환경별로 이 데이터를 분류한 차트 및 요약 테이블

IDE 플러그인이나 에이전틱 통합과 같은 다양한 차원별로 이 데이터를 분류한 차트 및 요약 테이블

Snyk 스캔 유형별로 이 데이터를 분류한 차트 및 요약 테이블

Snyk을 로컬에서 채택하고 있는 조직 및 개발자 목록

CI/CD에서 테스트된 리포지토리 보고서

이 보고서를 사용하려면 다음 필수 구성 요소를 고려하십시오.

• Snyk CLI 버전 1.1292.1 이상.

• 마지막 커밋 데이터를 보려면 SCM 그룹 통합이 필요합니다. 자세한 내용은 SCM 통합을 참조하십시오.

• 컨테이너를 테스트할 때, snyk container test 명령의 일부로 .git 컨텍스트를 포함하십시오.

이 보고서는 Snyk CLI를 사용하여 실행된 CI/CD 파이프라인의 일부로 수행된 Snyk 테스트를 분석합니다. 귀하의 회사의 사용 현황 및 CI/CD 테스트 채택 현황을 알려주어, 리포지토리가 예상대로 테스트되고 있는지 확인하고 치명적인 취약점 및 잘못된 구성이 배포되어 프로덕션 환경에 도달하는 것을 방지합니다.

보고서의 메인 보기에 표시된 숫자는 선택한 날짜 범위 동안 Snyk 제품별로 테스트된 리포지토리 수를 나타냅니다.

또한 이전 순차적 기간과 비교하여 테스트된 리포지토리 수의 변화를 알 수 있으므로, 리포지토리 전체에 걸쳐 CI/CD 테스트 채택이 개선되었는지 결론을 내릴 수 있습니다.

녹색 위쪽 화살표는 이전 순차적 기간에 비해 더 많은 리포지토리가 테스트되었음을 나타내고, 빨간색 아래쪽 화살표는 그 반대를 나타냅니다. 화살표 옆에는 절대적인 변화 수치가 나타나고, 바로 아래에는 변화의 정도를 측정하기 위한 변화 인식이 나타납니다.

리포지토리 테스트 채택 (Repository Test Adoption)

시간 경과에 따른 채택 현황을 자세히 알아보려면 리포지토리 테스트 채택 트렌드를 검토하십시오. 녹색 선으로 표시된 수치는 테스트된 리포지토리의 주간 수이며, 보라색 선으로 표시된 지난 30일 동안 커밋이 있었던 리포지토리 수와 비교하여 볼 수 있습니다.

이 비교는 CI/CD에서의 Snyk 테스트가 시간이 지남에 따라 점점 더 많이 채택되고 있는지 확인하는 데 도움이 되며, 커밋은 있었지만 CI/CD에서 테스트되지 않은 리포지토리 수를 강조합니다.

날짜 범위 필터를 사용하여 특정 제품이나 특정 조직별로 필터링하거나 검토 기간을 연장할 수 있습니다.

테스트 성공률 트렌드 (Test Success Rate Trend)

테스트 성공률은 엔지니어링 부서나 특정 Snyk 조직이 코드가 빌드 프로세스에 도달하기 전에 이슈를 식별하고 해결하려는 "시프트 레프트(shift left)" 접근 방식을 얼마나 잘 채택할 수 있는지를 보여주는 지표 역할을 합니다. 이 성공률은 통과한 테스트 수를 수행된 총 관련 테스트 수로 나누어 계산합니다.

성공률이 낮다는 것은 다음을 나타낼 수 있습니다.

• Snyk 테스트가 로컬 개발이나 PR 확인 단계에서 예방할 수 있는 보안 이슈로 인해 실패하고 있습니다. Snyk은 Snyk IDE 플러그인을 사용하여 테스트하고, Snyk PR 확인을 사용하며, Snyk Learn 프로그램에 등록할 것을 권장합니다.

• 테스트 성공 기준이 너무 엄격합니다. 이 옵션을 추가로 탐색하려면 Adoption by Organizations 위젯에 표시된 성공률이 가장 낮은 조직의 테스트 정의를 검토할 것을 권장합니다. 테스트 성공 기준 정의에 대한 자세한 내용은 Snyk CLI에서 빌드 실패 페이지를 참조하십시오.

조직별 채택 현황 (Adoption by Organizations)

CI/CD 파이프라인에서 테스트 채택을 늘리기 위해 애플리케이션 보안 프로그램을 시작하는 것은 어려울 수 있습니다. 이 이니셔티브는 AppSec 팀과 R&D 팀 간의 협업이 필요하며 정기적인 진행 상황 모니터링과 함께 점진적으로 구현될 것입니다.

Adoption by Organization 테이블은 Snyk 조직들의 채택률을 추적하고 비교할 수 있게 하여, 어려움을 겪고 있거나 뒤처져 있는 조직을 식별하는 데 도움을 줍니다.

또한 성공률(success rate) 열을 조사하여 성공률이 낮은 조직들을 노출할 수 있습니다.

열 설명:

• Tested Repositories (테스트된 리포지토리): 선택한 시간 범위 내에서 테스트된 리포지토리 수이며, 이전 순차적 기간과 비교한 변화 백분율이 표시됩니다.

• Committed Repositories (커밋된 리포지토리): 선택한 시간 범위 내의 어느 시점에 지난 30일 동안 커밋이 있었던 리포지토리 수이며, 이전 순차적 기간과 비교한 변화 백분율이 표시됩니다.

• Success Rate (성공률): 수행된 다른 모든 테스트에 대해 CI/CD에서 성공한 테스트의 비율입니다.

리포지토리 테스트 요약 (Repository Test Summary)

리포지토리 테스트 요약 테이블은 선택한 날짜 범위 동안 수행된 테스트를 보여줍니다.

테이블의 기본 정렬은 마지막 커밋에 따라 리포지토리를 노출하여, CI/CD 파이프라인에서 테스트될 것으로 예상되었던 리포지토리를 식별하고 테스트되었는지 확인할 수 있게 해줍니다. 열 이름을 클릭하여 선택한 열에 따라 테이블을 정렬하십시오. 한 번에 여러 열로 테이블을 정렬할 수 있습니다.

테이블에서 특정 리포지토리 브랜치에 대해 테스트를 실행할 수 있습니다. tested 표시기는 선택한 날짜 범위 동안 이 리포지토리의 어떤 브랜치라도 테스트되었음을 의미합니다.

클라우드 규정 준수 이슈 보고서

클라우드 규정 준수 이슈 보고서는 조직 전체의 클라우드 이슈를 규정 준수 표준(compliance standard)별로 정리하여 보여줍니다.

드롭다운 메뉴에서 원하는 표준을 선택하여 한 번에 하나의 규정 준수 표준 버전(예: CIS AWS Foundations Benchmark v1.4.0)에 대한 보고서를 볼 수 있습니다. 각 보고서에는 제어 카테고리별로 정리된 규정 준수 제어 목록과 그에 해당하는 이슈 수가 포함되어 있습니다.

이슈 수를 선택하면 클라우드 이슈 UI에서 해당 제어와 연관된 이슈 목록을 볼 수 있으며, 여기서 각 이슈를 상세히 확인할 수 있습니다.

클라우드 규정 준수 이슈 보고서의 정보를 사용하여 클라우드 규정 준수 이슈를 조사, 분류 및 수정하십시오.

Learn 참여도

참여도 보고서의 목표는 보안 교육 및 훈련 프로그램의 전반적인 진행 상황에 대한 인사이트를 제공하고, 조직의 어느 부분에서 Snyk Learn 콘텐츠를 활용하고 있는지 파악하는 것입니다. 이 데이터와 인사이트를 사용하여 프로그램을 더 잘 최적화하고, 보안 챔피언을 찾고, 규정 준수를 위한 보고서를 생성하며 임원 스폰서에게 진행 상황을 보여줄 수 있습니다.

보고서 액세스

Learn 참여도 보고서는 보고서 메뉴의 Change Report 드롭다운에서 그룹 레벨로 액세스할 수 있습니다.

보고서 기능

보고서를 통해 다음을 추적할 수 있습니다.

• Learn 참여도 스냅샷 분석 (Learn engagement snapshot analytics)

• 과제 진행 상황 (Assignment Progress)

• 채택 순위 (Adoption rankings)

• 콘텐츠 사용 분석

• 필터링: 사용자 정의 기간, 사용자, 조직, 조직 역할 및 레슨 제목.

Learn 참여도 스냅샷 및 과제 진행 상황

보고서의 첫 번째 섹션은 선택한 기간의 주요 참여 통계와 모든 과제의 진행 상황을 보여주는 데 중점을 둡니다. 메트릭의 정의는 툴팁에서 자세히 제공됩니다.

채택 순위 (Adoption rankings)

채택 순위 섹션은 조직 및 개별 사용자의 Snyk Learn 참여도를 보여줍니다. 이는 "레슨 완료(Lessons complete)" 순으로 정렬되며, 조직/사용자가 Snyk Learn 레슨에 보낸 예상 시간도 포함됩니다. 예상 시간은 각 레슨 시작 시 제시된 예상 시간을 사용하여 계산되며, 선택한 기간 동안의 "진행 중" 레슨에서의 예상 진행 시간도 포함됩니다.

학습 분석 (Learning breakdown)

분석 결과는 사용자가 참여하고 있는 Learn 콘텐츠의 다양한 유형을 레슨 완료 횟수를 척도로 하여 보여줍니다. 사용자가 제품 교육이나 보안 교육 중 어느 쪽에 참여하고 있는지 볼 수 있으며, 가장 인기 있는 레슨과 사용자가 어떤 CWE 카테고리를 가장 많이 학습하고 있는지에 대한 인사이트를 볼 수 있습니다.

학습 영향 및 기회 (Learning Impact & Opportunities)

영향 및 기회 보고서의 목표는 보안 교육 및 훈련 프로그램이 코드 이슈 해결 및 코드 이슈 예방에 미치는 영향에 대한 인사이트를 제공하는 것입니다. 또한 보고서는 코드 이슈 백로그와 보고서의 선택된 기간 동안 도입된 이슈를 기반으로 향후 훈련 기회에 대한 권장 사항을 제공합니다.

보고서 액세스

학습 영향 및 기회 보고서는 보고서 메뉴의 Change Report 드롭다운에서 그룹 레벨로 액세스할 수 있습니다.

보고서 기능

보고서를 통해 다음을 추적할 수 있습니다.

• 교육 및 훈련이 코드 이슈 해결에 미치는 영향

• 교육 및 훈련이 코드 이슈 예방에 미치는 영향

• 추가 훈련 기회에 대한 권장 사항

• 식별된 훈련 기회에서 훈련된 사용자의 커버리지 비율

• 필터링: 사용자 정의 기간, 사용자, 조직, 레슨 제목, CWE, 이슈 심각도.

학습 영향 스냅샷 (Learning impact snapshot)

보고서의 첫 번째 섹션은 교육이 코드 이슈 해결 및 코드 이슈 예방에 중점을 둔 보안 프로그램에 미치는 영향에 집중합니다.

"학습이 이슈 해결에 미치는 영향(Learning Impact on Issue Resolution)" 차트는 레슨 완료와 감지된 코드 보안 이슈 해결 사이의 관계를 측정합니다. 선택한 기간 내에 이슈가 수정되기 전에 관련 레슨이 완료된 경우 해결된 이슈로 집계됩니다. 레슨이 완료된 후 선택한 기간 내에 관련 이슈가 수정된 경우 레슨 완료로 집계됩니다. 필터를 사용하여 특정 레슨이나 CWE 카테고리를 자세히 살펴보십시오.

"학습이 이슈 예방에 미치는 영향(Learning Impact on Issue Prevention)" 차트는 레슨 완료와 코드 보안 이슈 예방 사이의 관계를 측정합니다. 선택한 기간 내에 관련 레슨이 완료된 경우 도입된 이슈로 집계됩니다. 프로젝트를 처음 가져온 날에 도입된 이슈는 집계되지 않습니다. 필터를 사용하여 특정 레슨이나 CWE 카테고리를 자세히 살펴보십시오.

상위 10개 CWE - 기간 내 열린 이슈 / 도입된 이슈

보고서의 이 섹션은 양을 기준으로 가장 많이 열려 있는 코드 이슈와 가장 자주 도입되는 이슈에 대한 교육 권장 사항을 보여줍니다. 이슈는 Snyk Learn에 관련 CWE 카테고리 레슨이 있는 경우에만 포함됩니다.

보고서 필터의 조직 범위 내 모든 사용자에 대한 커버리지가 표시됩니다. 이는 얼마나 많은 사람이 해당 주제에 대해 관련 Snyk Learn 레슨을 완료했는지 보여줍니다.

Snyk 생성 풀 리퀘스트

보고서 액세스

생성된 풀 리퀘스트 보고서는 보고서 메뉴의 Change Report 드롭다운에서 그룹 및 조직 레벨 모두에서 액세스할 수 있습니다.

이 보고서 유형은 수정(Fix), 백로그(Backlog), 및 업그레이드(Upgrade) PR이 어떻게 사용되는지에 대한 개요를 제공하고 PR 병합의 효율성을 강조합니다.

분석 보고서는 다음을 다룹니다.

• 유형별 PR 상태 및 PR 병합 비율 개요.

• 이슈의 가시성.

• PR 상태에 대한 리포지토리별 분석.

보고서 요약을 통해 생성된 총 Snyk PR 수, 병합된 총 풀 리퀘스트 수, 그리고 해당 풀 리퀘스트를 병합하는 데 걸린 평균 시간(mean time to merge)을 확인할 수 있습니다.

보고서 기능

보고서 오른쪽 상단의 날짜 필터를 사용하여 특정 간격에 기반한 데이터를 표시하십시오.

다양한 필터를 추가하여 결과를 특정 구성으로 좁히십시오. 필터 옵션은 조직(Organization), SCM, 프로젝트(Project), 리포지토리(Repository)입니다.

Snyk 생성 풀 리퀘스트 사용 현황

풀 리퀘스트 사용 현황은 유형별 풀 리퀘스트 (Pull requests by type) 그래프와 상태별 풀 리퀘스트 (Pull requests by status) 테이블에 시각화되어 표시되며, 동일한 데이터를 서로 다른 형식으로 보여줍니다. 이들은 PR의 수를 수정(Fix), 백로그(Backlog), 종속성 업그레이드(Dependency upgrade) 카테고리로 구분하고 열림(Open), 병합됨(Merged), 닫힘(Closed) 상태 유형별로 세분화합니다. 병합률(Merge rate)은 각 행에 대해 백분율로 표시됩니다.

열린 이슈 대 수정된 이슈

Snyk PR의 열린 이슈 대 수정된 이슈 그래프 및 테이블은 심각도에 기반하여 열린 이슈와 수정된 이슈의 수를 표시합니다.

리포지토리별 Snyk 생성 풀 리퀘스트

프로젝트/조직/리포지토리 (Projects/Org/Repository) 테이블은 각 조직 및 리포지토리 관계에 대해 총 PR 수, 열림, 병합됨, 닫힘 PR 수를 표시합니다. 병합률은 각 행에 대해 백분율로 표시됩니다.

리포지토리 이름을 선택하여 해당 특정 리포지토리에 대한 추가 메트릭이 포함된 모달을 엽니다.

리포지토리 분석 결과는 PR 유형 및 PR 상태별로 세분화된 PR 수를 상세히 보여줍니다. 병합률은 각 행에 대해 백분율로 표시됩니다. 또한 해당 리포지토리 내의 프로젝트를 나열하며, 심각도별로 분류된 이슈 수를 보여줍니다.

자산 대시보드

자산 대시보드는 애플리케이션 및 보안 제어에 대한 포괄적인 개요를 제공합니다. 열려 있는 이슈의 상태 및 트렌드, 제어 커버리지, 리포지토리 메타데이터와 같은 필수 데이터를 표시합니다.

자산 대시보드는 자산을 관리하고 검토하기 위한 중앙 허브로서, 시간 경과에 따른 인벤토리 크기 추적과 서로 다른 자산 유형 간의 상호 작용 이해를 더 쉽게 만들어줍니다.

Snyk Inventory가 보안을 확보해야 할 자산의 검색 및 관리를 가능하게 한다면, Snyk Asset Dashboard는 세부 사항을 넘어 인벤토리의 주요 구성 요소를 더 잘 이해할 수 있게 해줍니다. 자산 대시보드는 인벤토리에서 사용 가능한 모든 자산 데이터를 가져와 다음과 같은 다양한 질문에 답하는 데 도움을 줍니다.

• 나의 AppSec 프로그램이 비즈니스 크리티컬 자산 및 전략적 애플리케이션에 대한 커버리지 요구 사항을 충족하고 있습니까?

• 자산이 중요도에 따라 적절하게 분류되고 있습니까?

• 어떤 리포지토리가 어떤 애플리케이션이나 코드 소유자에게 속해 있는지 알고 있습니까? 새로 도입된 리포지토리가 해당 데이터로 업데이트되고 있습니까?

• 최근 작업이 이루어진 리포지토리에서 사용되는 주요 프로그래밍 언어 및 패키지 관리자는 무엇입니까?

필터

필터는 페이지의 왼쪽 상단에 위치하며 Asset Class, Asset type, Add filter 옵션이 있습니다. 필터 선택은 사용 가능한 모든 데이터 위젯에 적용됩니다.

사용 가능한 필터는 다음과 같습니다.

*로 표시된 모든 필터는 SCM 통합을 위해 애플리케이션 컨텍스트 카탈로그를 구성한 경우에만 표시됩니다.

리포지토리 커버리지 위젯

리포지토리 커버리지 위젯은 통합된 Snyk 또는 타사 보안 제품을 사용하여 전체 가용 리포지토리 수 대비 스캔된 리포지토리의 비율에 대한 개요를 제공합니다.

열 위에 마우스를 올리면 커버리지 백분율이 어떻게 계산되는지 확인할 수 있습니다.

자산 클래스 분석 (Asset class breakdown)

자산 클래스 분석 위젯은 자산 클래스별로 리포지토리 및 컨테이너 이미지의 분포를 보여줍니다. 이 위젯을 검토하면 인벤토리 내 비즈니스 크리티컬 자산의 비율을 결정하고 드릴다운하여 실제 자산을 확인할 수 있습니다.

상위 10대 기술 분석

상위 10대 기술 위젯은 리포지토리에서 사용되는 주요 프로그래밍 언어 및 프레임워크를 식별합니다. 가용한 필터를 사용하면 활성 상태이거나 비즈니스 크리티컬한 리포지토리에서 가장 흔히 사용되는 기술을 파악할 수 있습니다. 또한 특정 애플리케이션이나 코드 소유자를 조사할 수도 있습니다.

상위 10대 패키지 관리자 분석

상위 10대 패키지 관리자 위젯은 인벤토리 내의 주요 패키지 관리자를 식별할 수 있게 해줍니다. 수량은 패키지 유형의 자산을 나타냅니다. 패키지 자산은 패키지 관리 시스템에 의해 관리되는 소프트웨어 또는 라이브러리로 정의됩니다.

리포지토리 최신성 (Repository freshness)

리포지토리 최신성 위젯은 마지막 커밋 날짜에 따라 리포지토리 분포를 표시합니다.

• Active: 지난 3개월 이내에 커밋이 있음.

• Inactive: 마지막 커밋이 지난 3~6개월 사이에 이루어짐.

• Dormant: 지난 6개월 동안 커밋이 없음.

• N/A: 커밋 데이터를 사용할 수 없음.

이 위젯을 사용하여 특정 애플리케이션과 같은 다양한 컨텍스트에서 어느 정도 유지 관리되고 있는 리포지토리의 수량을 파악할 수 있습니다.

애플리케이션 컨텍스트 가용성

애플리케이션 컨텍스트 가용성 위젯은 자산 컨텍스트의 격차를 발견할 수 있게 해줍니다. 사용 가능한 열은 다음과 같습니다.

• Application Context - 분석된 컨텍스트 속성을 표시합니다.

• Unique Values - 속성에 대해 존재하는 고유한 인스턴스 수를 보여줍니다. 예를 들어, 나열된 속성 중 하나에 대해 얼마나 많은 고유한 애플리케이션이나 코드 소유자가 있는지 확인할 수 있습니다.

• Availability in Repos - 리포지토리 전반에서 특정 속성의 완전성(completeness)을 나타냅니다.

자산 소스 분석 (Asset source breakdown)

자산 소스 분석 위젯은 다양한 소스에서 감지된 자산의 수량을 시각화합니다. 소스는 자산이 직접 관리되는 플랫폼(SCM, 컨테이너 레지스트리 등)이나 자산을 보강하는 플랫폼(보안 제품 및 AST)일 수 있습니다.

리스크 노출 보고서

이 보고서는 보안 리스크에 대한 통합된 단일 보기를 제공합니다. 리스크 노출 정도를 빠르게 이해하고, 리스크를 줄이기 위한 진행 상황을 추적하며, 고위험 영역을 핀포인트로 찾아낼 수 있게 해줍니다.

리스크 노출 보고서는 AppSec 팀이 더 빠르고 정보에 입각한 의사 결정을 내리도록 돕습니다. 여러 보고서를 검토하는 대신, 보안 환경에 대한 명확한 개요를 제공하여 다음을 가능하게 합니다.

• 가장 큰 보안 과제가 무엇인지, 어디에 주의를 집중해야 할지 신속하게 식별하여 더 빠른 의사 결정을 내립니다.

• 리스크에 가장 많이 기여하는 영역으로 완화 노력을 안내하기 위해 데이터를 사용하여 효과적으로 우선순위를 정합니다.

• 이해하기 쉬운 시각화 자료를 통해 시간 경과에 따른 팀의 리스크 감소 효과를 추적하여 성과를 보여줍니다.

심각도 소스 (Severity source)

선호하는 심각도 소스를 선택하고 보고서 전체에서 선택한 심각도를 자동으로 업데이트하십시오.

• Snyk: Snyk 고유의 CVSS 계산 및 Linux 배포판의 상대적 중요도를 포함한 기타 요인을 활용합니다.

• NVD CVSS: NVD(National Vulnerability Database)의 심각도 점수를 활용합니다.

• Non-SCA 심각도 (Non-SCA Severities): 비 SCA 이슈(예: Code, IaC)의 경우, Snyk의 심각도는 특정 코드 취약점에 대해 높음, 중간, 낮음 레벨을 계산하고 IaC 심각도 결정에는 공통 구성 점수 시스템(CCSS)을 활용합니다.

이 보고서는 리스크 환경에 대한 포괄적인 보기를 제공하기 위해 두 가지 주요 섹션을 포함합니다.

리스크 노출 트렌드 (Risk exposure Trends)

이 섹션은 시간 경과에 따른 이슈의 시각적 개요를 제공합니다. 다음 기준으로 이러한 트렌드를 볼 수 있습니다.

• 심각도 (Severity): 서로 다른 심각도 레벨별 이슈 분포를 확인합니다.

• 도입 카테고리 (Introduction Category): 프로젝트에 이슈가 어떻게 도입되고 있는지 이해합니다.

• 자산 클래스 (Asset Class): 영향을 받는 자산 유형별로 이슈를 그룹화합니다.

리스크 노출 분석 (Risk exposure Breakdown)

이 상세 테이블은 이슈와 영향을 받는 자산을 세분화하여 보여줍니다. 그룹, 조직, 프로젝트, 도입 카테고리, 자산 클래스 차원 중에서 선택하여 귀하의 필요에 맞게 데이터를 동적으로 그룹화할 수 있습니다.

테이블은 기본적으로 치명적 및 높은 심각도 이슈의 총 수에 따라 정렬되어, 가장 시급한 리스크에 먼저 집중할 수 있도록 돕습니다.

데이터를 PDF나 CSV로 내보내고 이슈를 상세히 분석할 수도 있습니다.

저장된 보기

저장된 보기(Saved Views) 기능은 공유되고 일관되며 사용자 정의 가능한 보고서를 기반으로 한 협업을 가능하게 합니다. 이 기능은 조직 및 그룹 레벨의 Reports 메뉴에서 사용할 수 있습니다. 이를 통해 보고서의 필터 설정을 사용자 정의하여 저장하고 나중에 다시 사용할 수 있습니다.

Snyk 플랫폼 외부에서 보기를 더 쉽게 공유할 수 있도록, 저장된 보기의 URL은 생성된 후에도 사용자가 변경한 사항에 관계없이 동일하게 유지됩니다.

사전 준비 사항

저장된 보기를 생성, 편집 및 제거하려면 Edit reports 권한이 있어야 합니다. 저장된 보기는 비공개가 아닙니다. 저장된 보기는 생성된 후 View reports 권한이 있는 모든 사용자에게 보입니다. 조직 및 그룹 관리자만이 이러한 권한을 할당할 수 있습니다. 자세한 내용은 사용자 역할 관리를 참조하십시오.

보고서 권한을 할당하려면:

1. Snyk 웹 UI에서 그룹 및 조직으로 이동합니다.

2. 그룹 레벨에서, Members > Manage Roles > Group Admin으로 이동하여 다음 권한을 활성화합니다.

   • View reports: Snyk 보고서를 보고 다른 사람이 만든 저장된 보기를 보기 위함

   • Edit reports: 저장된 보기를 생성하기 위함

3. 조직 레벨에서, View Organization reports 및 Edit Organization reports 권한을 활성화합니다.

보기 생성

새로운 보기를 생성하려면:

1. Snyk 웹 UI에서 그룹 또는 조직으로 이동합니다.

2. Reports 메뉴로 이동하여 Change Report 드롭다운에서 보고서를 선택합니다.

3. Standard view 필터를 선택하고 Create new view를 클릭합니다.

1. 보기 이름을 입력하고 Create view를 클릭합니다.

보기 업데이트

저장된 보기를 업데이트하려면:

1. Snyk 웹 UI에서 그룹 및 조직으로 이동합니다.

2. Reports 메뉴로 이동하여 업데이트하려는 저장된 보기가 포함된 보고서를 선택합니다.

3. Standard view 필터에서 업데이트하려는 보기를 선택하여 로드합니다.

4. 보고서 보기에 필요한 변경을 수행합니다.

5. 저장된 보기 드롭다운 옆의 Save를 클릭하여 변경 사항을 저장합니다. 이는 기존 보기를 덮어씁니다.

보기 이름 변경, 삭제 또는 URL 복사

저장된 보기 이름 위에 마우스를 올리고 나타나는 세 점 메뉴를 클릭하면 다음과 같은 옵션을 사용할 수 있습니다.

• Copy URL: 저장된 보기의 URL을 복사합니다.

• Set as Group default view: 보기를 그룹의 기본 보기로 설정합니다. Remove as Group default view를 클릭하여 기본 설정을 해제할 수 있습니다.

• Rename: 저장된 보기의 이름을 변경합니다.

• Delete: 저장된 보기를 삭제합니다.

예시

Snyk은 관련 보고서 필터에 따라 사용자 정의할 수 있는 내장 보고서를 제공합니다. 광범위한 필터를 사용할 수 있으며, 일부 필터는 여러 값을 가집니다. 이러한 경우, 저장된 보기를 사용하여 보고서의 상태를 저장할 수 있습니다.

예를 들어, Issues Detail 보고서에 이슈가 너무 많아 관리하기 어려운 경우입니다.

Computed Fixability 필터를 보고서에 추가하여 Fixable로 계산된 이슈만 표시할 수 있습니다.

마지막으로, Exploit Maturity 필터를 추가하여 특정 리스크 점수를 가진 이슈만 표시할 수 있습니다.

그런 다음 Save를 클릭하고 보기 이름을 추가한 후 Create view를 클릭하여 이 필터링된 보기를 저장할 수 있습니다.

그런 다음 보기 URL을 복사하여 개발 팀과 보고서를 공유할 수 있습니다.

PR 확인 보고서

이 보고서는 채택 현황, 성능 및 신뢰성을 PR 스캔 건전성에 대한 단일 보기로 결합하며, 다양한 리포지토리 전반의 PR 스캔 채택 현황 및 성능에 대한 가시성을 제공합니다.

이 보고서를 사용하여 Snyk PR 확인이 어디에 구현되어 있는지, 어디에서 채택을 늘릴 수 있는지, 어떤 유형의 실패가 개발자 워크플로우에 가장 빈번하게 영향을 주는지 판단할 수 있습니다. 이러한 인사이트는 팀이 더 나은 PR 스캔 커버리지, 더 안정적인 실행, 그리고 조직 전체에서 개선된 개발자 경험을 갖도록 안내합니다.

필터 및 CSV 다운로드 기능을 통해 사용자는 심층 분석을 위해 특정 그룹이나 구성에 집중할 수 있습니다.

PR 확인 성능 및 상태

트렌드 차트 및 성공, 실패, 오류 확인 건수를 표시하는 요약 타일을 통해 PR 확인 성능을 시각화할 수 있습니다.

차트는 시간 및 PR 확인 상태별로 성능을 세분화합니다. 보조 보기에서는 Snyk Code와 Snyk 오픈소스를 구분하여, 어떤 제품 영역이 성공 또는 오류 패턴에 가장 많이 기여하는지 이해할 수 있게 해줍니다.

플랫폼 신뢰성 및 스캔 성능에 대한 개요로 이 보고서를 사용하십시오.

오류 메시지별 오류 PR 확인

이 보기를 통해 PR 확인 오류의 가장 흔한 원인을 확인할 수 있습니다. 이는 팀이 반복되는 문제를 식별하고 개발자 경험을 개선하는 수정 작업의 우선순위를 정하는 데 도움을 줍니다. 보고서는 빠른 해결을 위해 기술적 제한 사항이나 설정 문제를 강조합니다.

PR 스캔 채택 현황

이 보기는 팀별 PR 스캔 채택 현황을 강조합니다. 드롭다운 컨트롤을 사용하여 그룹, 조직 또는 리포지토리별 채택 현황을 볼 수 있습니다.

각 보기는 다음과 같은 주요 지표를 표시합니다.

• PR 스캐닝이 포함된 SCM 통합

• Snyk Code를 사용하는 리포지토리

• Snyk 오픈소스를 사용하는 리포지토리

레이아웃은 PR 스캐닝이 활성화된 곳과 추가적인 활성화를 통해 리포지토리 전반으로 커버리지를 확장할 수 있는 곳을 표시합니다. 장기적인 목표는 100%의 리포지토리와 통합이 PR 스캐닝에 포함되도록 하여 완전한 커버리지를 달성하는 것입니다.

PR 스캔 성능

이 보기는 서로 다른 그룹, 조직 또는 리포지토리 전반의 PR 활동이 스캔 커버리지 및 실패율로 어떻게 이어지는지 보여줍니다.

드롭다운 메뉴를 사용하여 상세 내용을 확인할 수 있습니다. 테이블은 총 PR 수와 확인에 실패한 PR 수를 요약하고, 스캐닝 활동이 집중된 곳과 보안 리스크가 더 자주 나타날 수 있는 곳을 강조합니다.

PR 볼륨이 높은 팀이나 리포지토리가 더 많은 확인을 생성하는 것이 일반적입니다. 이 보기는 실패 분포의 패턴을 노출하는 데 도움을 줍니다.