6단계: 방어 단계 롤아웃

비즈니스 전반의 보안 이슈에 대한 가시성을 확보한 후에는, 애플리케이션에 새로운 취약점이 추가되는 것을 막기 위한 방어 및 게이팅 시스템 구현을 시작할 수 있습니다.

일반적인 방어 방법

'새로운 이슈를 예방'할 수 있는 두 가지 기능은 다음과 같습니다.

• 풀 리퀘스트(PR) 또는 병합 리퀘스트(MR) 확인에 대한 Snyk 테스트; 오픈소스 및 Snyk Code PR 확인에서 사용 가능합니다.

• CI/CD 파이프라인에 snyk test 추가; 이미 파이프라인의 일부로 프로젝트를 가져오기 위해 snyk monitor를 구현했을 수 있습니다. 또한 오픈소스, 코드, 코드형 인프라 및 컨테이너 취약점 모두 게이팅할 수 있습니다.

어떤 기능을 사용하든, Snyk은 어떠한 형태의 게이팅을 구현하기 전에 개발자들에게 이러한 변경 사항을 명확하게 알릴 것을 권장합니다.

방어에 대한 팁

차이점 차단 (Block the differences)

아직 취약점을 차단하고 있지 않다면, 차이점을 차단하는 것부터 시작하십시오.

이렇게 하면 개발자가 자신의 변경 사항과 직접 관련된 취약점에 대해서만 책임을 지게 되므로 프로세스에 더 쉽게 적응할 수 있습니다.

• 새로운 이슈를 차단하는 옵션이 포함된 PR 확인 실행.

• Snyk Delta는 CLI 레벨에서 결과의 차이점을 파악하는 데 도움을 줄 수 있습니다.

예외 프로세스 공지

팀이 예외 프로세스를 알고 있고 PR이 차단되거나 빌드가 실패할 경우 예외를 어떻게 처리해야 하는지 아는 것이 중요합니다.

예를 들어:

• 통과가 필수인 경우 누가 PR 확인을 재정의할 권한이 있는지 팀에 알리십시오.

• 빌드가 실패할 경우 이슈를 무시하고 테스트를 다시 실행할 수 있는지 확인하십시오. 누가 실행할 수 있습니까? 아니면 해당 단계를 통과하도록 스크립트를 실행할 수 있습니까? 누가 그 결정을 내릴 수 있습니까?