엔터프라이즈 구현 가이드
각 비즈니스와 환경은 다릅니다. 이를 염두에 두고, 이 가이드는 엔터프라이즈 비즈니스가 Snyk을 구현하는 것을 돕는 것을 목표로 합니다. 이 가이드는 이상적인 롤아웃에 도달하는 데 필요한 단계에 집중하여 대규모 롤아웃을 구현하는 데 대한 권장 사항을 제공합니다.
가이드는 대부분의 비즈니스가 다음과 같다는 인식에서 시작합니다.
기존 소프트웨어에 문제 백로그가 있음.
지속적으로 새로운 소프트웨어를 만들고 있으며 새로운 코드의 보안을 확보해야 함.
비즈니스의 규모와 범위에 따라 일반적인 구현 타임라인이 있습니다.
비즈니스가 작고 민첩하다면 며칠 내에 Snyk 구현을 달성할 수 있습니다. 구매 직후 종종 Git 통합과 API Import 도구를 사용하여 Snyk 스캔을 시작할 수 있습니다. 이러한 유형의 프로세스에 대한 자세한 내용은 시작하기 및 스캔 시작하기 섹션을 참조하십시오.
하지만 규모가 크고 프로세스 중심적인 엔터프라이즈의 경우, 구현 프로세스에 몇 주 또는 몇 달이 걸릴 수 있으며 성공을 위해 더 상세한 계획이 필요합니다.
Snyk Essentials 플랜은 Snyk 엔터프라이즈 플랜에 포함되어 있으며, 이는 다음과 같은 기능에 액세스할 수 있음을 의미합니다.
SCM을 위한 커버리지 제어(Coverage control).
특정 작업을 자동으로 트리거하는 정책(Policy) 생성.
SCM 통합을 위한 Backstage 파일 사용자 지정.
애플리케이션에 대한 사용자 지정 분석(Analytics) 및 보고서.
구현 전략 개요
이 가이드는 세 가지 목표에 부합하는 일련의 작업을 간략하게 설명하며 여러 단계로 구성되어 있습니다.
가시성 확보
대규모 비즈니스의 경우, Snyk은 먼저 가시성에 집중할 것을 권장합니다. 즉, 보안 문제를 항상 즉시 수정하지는 않더라도 명확하게 파악하는 것입니다.
이것이 Snyk을 사용하여 문제를 수정하는 것을 막지는 않습니다. 문제를 일찍 수정하기 시작할 수 있지만, 초기에는 개발을 방해하지 않고 신뢰를 구축하며 나중에(일반적으로 방어 단계에서) 게이팅을 서서히 도입하는 것이 중요합니다.
가시성을 통해 애플리케이션 포트폴리오 전반의 보안에 대한 폭넓은 시야를 확보하고, Snyk 스캔이 방해 요소로 인식되는 것을 방지하며, 개발 프로세스에 미치는 영향을 최소화할 수 있습니다.
이러한 가시성은 Snyk을 롤아웃하는 동안 신뢰를 구축하는 데 도움이 됩니다.
방어 달성 및 개발자 채택 유도
다음은 방어 단계로, 새로운 보안 문제가 애플리케이션에 추가되는 것을 막는 것입니다. 이 단계에서는 개발자가 풀 리퀘스트(PR)/병합 리퀘스트(MR) 확인을 사용하여 파이프라인에서 문제를 확인하고, 파이프라인에서 빌드를 차단할 수 있는 확인을 수행하도록 제어할 수 있습니다.
이의 일환으로 개발자는 IDE 플러그인과 Snyk Advisor와 같은 다른 도구를 사용하여 안전한 패키지를 선택하고 Snyk Learn을 사용하여 보안 코딩, 보안 및 제품에 대해 교육받을 수 있습니다.
백로그 수정 및 문제 분류
마지막으로 보안 문제 백로그 수정에 집중할 수 있습니다. 이는 여러 형태를 취할 수 있습니다.
초기 롤아웃의 일부로 보안 팀 또는 초기 이해관계자가 기존 포트폴리오에 대한 초기 결과를 분류하고, 조사하거나 해결해야 할 우선순위 항목에 대한 티켓을 생성하거나, 팀이 주간 분류 프로세스의 일부로 자체 애플리케이션에 대해 이를 수행하도록 할 수 있습니다.
가시성을 확보하고 방어를 달성한 후에는 문제 백로그를 살펴볼 수 있습니다. 예를 들어, 주요 이해관계자와의 주간 분류 프로세스를 통해 팀이 무엇을 해결해야 할지 안내할 수 있습니다.
Snyk으로 강화된 리소스 사용
Snyk은 개발자를 염두에 두고 구축되었으며 다음을 제공합니다.
IDE, Git 및 CI/CD용 통합을 사용하여 안전한 애플리케이션을 생성하는 도구.
결정을 내리는 데 도움이 되는 Snyk Advisor 및 기타 도구.
제품, 코드 보안 및 모범 사례에 대한 Snyk Learn 교육 자료.
보안 및 규정 준수 팀이 방향을 제시할 수 있도록 하는 정책(Policies).
Last updated