자산 관리 구성
사전 준비 사항
다음 전제 조건이 충족되었는지 확인하십시오.
귀하는 그룹 관리자(Group Administrator)이거나, 그룹 보기 및 Essentials 편집 권한이 있는 그룹 레벨의 역할이 할당되어 있어야 합니다.
Snyk Essentials와 연관된 그룹에는 Snyk 애플리케이션 보안 제품을 온보딩한 조직이 포함되어 있어야 합니다.
리포지토리 자산 검색을 위해 클라우드 기반 SCM 도구(Azure DevOps, GitHub, GitLab 등)를 Snyk Essentials에 온보딩하는 데 필요한 권한과 권한을 보유하고 있어야 합니다.
자산 관리 구성 및 SCM 통합 설정
모든 인벤토리 코드 기반 자산을 식별하고 어떤 자산에 보안 제어가 적용되어 있는지 확인하십시오.
자산 관리 액세스
Snyk 웹 UI에서 Inventory에 액세스할 수 있는지 확인하십시오.
Snyk 그룹의 그룹 레벨에서 Inventory 메뉴에 액세스합니다.
그룹 관리자(Group Admin) 액세스 권한이 있는지 확인합니다.
통합 설정
필요한 통합을 설정하여 자산 인벤토리 구축을 시작하십시오.
스캔된 정보는 모든 기능을 활성화한 후 2시간 이내에 자동으로 가져와집니다. 대규모 온보딩의 경우, 모든 정보가 처리될 때까지 최대 24시간을 기다리는 것이 좋습니다.
Integrations 보기에서 통합을 액세스하고 구성하십시오. Add integration 옵션을 선택하여 사용 가능한 모든 통합 목록을 확인하십시오. Snyk 통합 설정을 참조하십시오.
Integrations 보기의 기본 디스플레이에는 구성된 Snyk 통합이 포함됩니다. 각 통합의 상태인 Connected 또는 Not connected는 Snyk으로 가져온 특정 콘텐츠에 따라 달라집니다.
기존 통합을 사용자 지정하거나 새 SCM 통합을 연결할 수 있습니다.
Add an integration을 선택하면 사용 가능한 통합 목록이 표시됩니다. 각 통합에 대해 하나 또는 여러 개의 프로필을 추가할 수 있습니다.
SCM 통합
Integrations 페이지에서 SCM 통합을 구성하십시오.
이 통합 인터페이스는 자산 관리를 위한 전용 인터페이스입니다. Snyk 엔터프라이즈에서 사용할 수 있으며, 보안 및 라이선스 스캐닝에 사용되는 조직(Organization) 통합 인터페이스와는 별개입니다.
그룹 레벨 통합 화면에서 토큰을 설정하면 액세스에 대한 포괄적인 보기를 제공하여 보안을 강화합니다. 이 토큰은 개별 개발자에게 허용되지 않은 리포지토리를 포함하여 모든 리포지토리에 대한 광범위한 액세스를 허용하여 보안 팀과 개발 팀 간의 정렬을 보장합니다.
지원되는 SCM 통합은 다음과 같습니다.
지원되는 SCM 통합에 대한 자세한 내용은 그룹 레벨 통합 페이지를 참조하십시오.
Broker를 통한 SCM 통합
Snyk Broker를 설정할 때, 새로운 Broker를 구축하거나 기존 Snyk Broker 연결을 업데이트하는 것과 관련하여 다음과 같은 질문이 필요합니다.
API 속도 제한(Rate Limit) 문제에 직면하고 있습니까?
SCM 토큰을 모든 관련 SCM 리포지토리에 액세스할 수 있는 사용자로 업데이트해야 합니까?
1,000개 이상의 리포지토리가 있습니까?
위 질문 중 하나라도 '예'라고 답했다면, Snyk Essentials SCM 연결을 수용하기 위해 새로운 Snyk Broker를 배포해야 합니다.
Snyk은 Snyk Essentials Broker 전용으로 Snyk 내에 새로운 조직을 생성할 것을 권장합니다.
Snyk Broker를 사용하여 Snyk Essentials를 설치하고 구성하는 방법에 대한 자세한 내용은 Snyk Broker 페이지를 참조하십시오.
SCM 통합을 위한 애플리케이션 컨텍스트
애플리케이션 컨텍스트는 특정 애플리케이션을 둘러싼 정보를 의미하며, 여기에는 애플리케이션을 구성하는 자산과 이러한 자산이 어떻게 관련되어 있는지가 포함됩니다. 이 컨텍스트를 이해하는 것은 보안 문제의 영향과 리스크를 평가하는 데 필수적인데, 이는 애플리케이션의 구조와 구성 요소에 대한 포괄적인 보기를 제공하기 때문입니다. 이러한 이해는 애플리케이션 보안 리스크를 효과적으로 평가하고 관리하는 데 중요합니다.
이 기능을 사용하는 방법에 대한 자세한 내용은 SCM 통합을 위한 애플리케이션 컨텍스트 문서를 참조하십시오.
기능
Snyk Essentials 기능은 그룹 레벨의 여러 메뉴 옵션에 나뉘어 있습니다.
Asset Dashboard 보고서
Inventory 보기
인벤토리(Inventory) 기능은 각각 특정 영역에 초점을 맞춘 네 개의 섹션으로 구성됩니다.
Overview: 검색된 리포지토리에 대한 빠른 인사이트를 제공합니다.
All Assets: 검색된 모든 자산을 유형별로 그룹화하여 표시합니다.
Asset Hierarchy: 자산 계층 구조 레이아웃은 자산을 계층적 구조로 보여줍니다. 자산 목록은 이슈 수에 따라 정렬되며, 해당하는 경우 패키지 자산은 해당 자산이 위치한 리포지토리 아래에 나열됩니다. 자산 계층 구조는 필터가 적용되지 않은 경우에만 표시됩니다. 자산 계층 구조 보기에서 사용 가능한 모든 옵션에 대한 자세한 개요는 자산 인벤토리 구성 요소 페이지를 참조하고, 필터링 옵션과 사용 방법에 대한 자세한 내용은 자산 인벤토리 필터 페이지를 참조하십시오.
Teams: 팀별로 그룹화된 SCM 리포지토리 자산입니다. 팀이 있는 SCM 조직과 팀에 할당된 리포지토리만 이 레이아웃에 나타납니다.
Technology: Snyk Essentials에 의해 감지되고 태그가 지정된 기술별로 그룹화된 SCM 리포지토리 자산입니다.
자산 관리를 처음 사용하는 경우, Snyk은 먼저 Coverage 필터를 사용하여 Snyk이 구현된 위치를 확인할 것을 권장합니다. 그런 다음 Coverage Gap 필터를 사용하여 Set coverage control 정책에 설정된 커버리지 요구 사항을 충족하지 않는 자산을 식별할 수 있습니다.
Coverage Gap 필터를 사용하여 다음을 수행할 수 있습니다.
Set coverage control 정책 요구 사항을 준수하지 않는 모든 자산 찾기:
Coverage gap - 사용 사례 1 Snyk 오픈소스 또는 Snyk Code 중 하나, 또는 두 가지 모두에 대해 커버리지 요구 사항을 동시에 충족하지 않는 자산 찾기:
Coverage gap - 사용 사례 2
태그 (Tags)
태그를 사용하여 자산을 분류하십시오. 태그를 여러 가지 방식으로 사용할 수 있습니다.
자동 태그: 자산 관리는 리포지토리에서 사용된 기술(Python, Terraform 등) 및 리포지토리 최신 업데이트에 대한 정보로 리포지토리 자산에 자동으로 태그를 지정합니다. 정책을 사용하여 리포지토리 및 패키지 자산에 태그를 지정할 수도 있습니다. GitHub 및 GitLab 토픽(topics)도 리포지토리에서 가져와 자산 태그로 적용할 수 있습니다.
BitBucket은 리포지토리의 소스 코드에서 사용된 언어를 자동으로 감지할 수 없습니다. BitBucket에 대해 수동으로 추가된 언어 태그만 볼 수 있습니다. 자세한 내용은 BitBucket에서 제공하는 공식 문서를 참조하십시오.
사용자 정의 태그: 정책을 통해 사용자 정의 태그를 설정하여 시스템 생성 태그 이외의 방식으로 자산을 분류하십시오. 자세한 내용은 정책 생성 페이지를 참조하십시오.
자산 대시보드 보고서 (Asset Dashboard Report)
자산 대시보드는 애플리케이션 및 보안 제어에 대한 포괄적인 개요를 제공합니다. 열려 있는 이슈의 상태 및 트렌드, 제어 커버리지, 리포지토리 메타데이터와 같은 필수 데이터를 표시합니다.
Last updated