프로젝트 가져오기
구성한 통합 기능과 기술 스택의 언어 및 패키지 관리자에 따라 다음을 사용하여 Snyk으로 프로젝트를 가져올 수 있습니다.
Git 리포지토리와의 소스 제어 통합
CI/CD와 함께 Snyk CLI 사용
가장 좋은 가져오기 경로는 기술 스택의 언어 및 패키지 관리자에 따라 다릅니다.
최적의 시작 지점을 결정하기 위한 몇 가지 주요 사항은 다음과 같습니다.
Snyk 시작하기 방법
Snyk은 여기에 설명된 대로 귀하의 필요에 맞는 다양한 통합 방법을 제공합니다.
Git 통합
자동 스캔을 위해 리포지토리를 연결할 수 있습니다. 자세한 내용은 Snyk SCM 통합을 참조하십시오.
애플리케이션 수가 적은 경우(일반적으로 100개 미만) 다음 단계를 따르십시오.
Settings로 이동한 다음 Integrations로 이동하여 Integrations 페이지의 타일을 사용하여 Git 코드 리포지토리에 연결합니다.
통합 설정에서:
프로젝트를 처음 온보딩할 때는 자동 수정 및 PR/병합 확인을 비활성화합니다.
안정된 상태에 도달하고 차단이 필요할 때 활성화합니다.
프로젝트 목록에서 웹 UI를 사용하여 프로젝트를 추가합니다.
Git 코드 리포지토리에서 결과를 모니터링합니다.
수백 또는 수천 개의 리포지토리가 있는 경우, Import targets API 엔드포인트를 사용하여 프로젝트를 가져올 수 있습니다. 이는 기존 소스 제어 통합을 활용하며 프로세스 자동화에 사용될 수 있습니다.
API-import 도구는 API를 사용하여 대규모 엔터프라이즈의 온보딩을 관리하며, 대규모 환경에서 권장되는 도구입니다. snyk-api-import 도구를 사용할 때는 소스 제어 구조를 미러링해야 합니다.
Snyk CLI
Snyk CLI를 사용하면 개별 프로젝트를 세밀하게 스캔할 수 있습니다.
수행할 각 테스트 유형(오픈소스, 코드, 코드형 인프라 또는 컨테이너 테스트)에 대해 명령어를 구성해야 합니다.
CLI를 사용하려면 다음 단계를 따르십시오.
빌드 스크립트의 일부로 적절한 방법 중 하나를 사용하여 CLI를 설치합니다.
스크립트에서 프로젝트 폴더로 이동합니다.
실행 중인 스캔 유형에 맞는 적절한 옵션과 함께
snyk test또는snyk monitor명령을 실행합니다. 스크립트에서 테스트를 구현하는 위치는 일반적으로 유연하지만, 가장 흔한 것은 배포 전입니다. 취약점을 수동적으로 보고하려면 Snyk 오픈소스 및 Snyk 컨테이너에 대해monitor명령만 사용하십시오.test명령을 사용하여 게이팅을 적용하는 경우,--severity-threshold나 CLI 또는 snyk-filter 플러그인의 다양한 옵션에 의해 설정된 특정 기준을 충족하는 문제가 발견되면 빌드를 중단하는 것이 목적입니다.일반적으로 오픈소스의 경우 종속성이 빌드 시스템에 설치된 후
test또는monitor명령(또는 둘 다)을 실행합니다.전형적인 명령은 다음과 같습니다.
코드:
snyk code test --org=[org-id]오픈소스:
snyk test --all-projects --org=[org-id]snyk monitor --all-projects --org=[org-id]
snyk test를 실행할 때는 로컬에서 결과를 검토하고, monitor 또는 report 기능을 사용할 때는 웹 UI에서 결과를 검토합니다.
다양한 파이프라인 통합 데모는 Snyk-Labs에서 찾을 수 있습니다.
Snyk API
Snyk API를 사용하여 스캔할 수 있습니다. 이를 통해 대규모 자동 스캔이 가능해집니다.
프로세스는 다음과 같습니다.
Settings 및 Service Accounts로 이동하여 API 토큰을 생성합니다.
파이프라인에서 Snyk API를 호출합니다.
결과를 프로그래밍 방식으로 처리합니다.
필요한 경우 코드를 변경합니다.
API를 사용한 스캔은 다음을 수행하는 데 유용합니다.
파이프라인을 통해 스캔 트리거.
프로젝트 포트폴리오 전반으로 확장.
실시간으로 새로운 문제 식별.
Last updated