7단계: 분류, 무시 및 수정
우선순위 결정에 대한 팁
빌드를 차단하든 비차단/권고 모드로 실행하든 리포지토리에 새로운 문제가 유입되는 것을 방지하기 위한 전략을 구현한 후, 다음 단계는 백로그에 있는 문제의 우선순위를 정하고 수정을 시작하는 것입니다.
4단계: 수정 전략 생성에서 프로젝트와 문제의 우선순위를 정하기 위한 계획을 세웠습니다. 이를 구현하기 위해 개발 팀 리더와 정기적인 미팅을 예약하여 이 프로세스를 지원할 수 있습니다.
Snyk 도구 섹션에는 jira-tickets-for-new-vulns라는 도구가 있습니다. 이 도구는 정기적으로 실행되도록 예약하여 사용자가 지정한 기준을 충족하는 취약점에 대해 Jira 티켓을 자동으로 생성할 수 있습니다. 이 프로세스가 자동화되든 아니든, 개발자가 검토할 수 있도록 티켓을 생성하는 것은 Snyk이 식별한 문제를 더 잘 보이게 하는 좋은 방법이 될 수 있습니다.
Jira Cloud를 사용하는 경우 Atlassian 마켓플레이스에서 Snyk Security in Jira Cloud 플러그인을 다운로드하여 설치할 수 있습니다. 이를 통해 Jira에서 직접 Snyk 취약점 정보를 보고, Jira Automation을 사용하여 새로운 취약점이 식별될 때 새 티켓을 생성할 수 있습니다.
무시 기능 사용
언제 문제를 무시해야 하나요?
문제 수정 우선순위를 결정할 때 현재 수정하고 싶지 않은 특정 패키지나 취약점이 보일 수 있습니다. 이는 다음과 같은 다양한 이유 때문일 수 있습니다.
수정으로 인해 파괴적인 변경(breaking changes)이 도입되는데, 이를 수정할 시간이 없습니다.
환경적 또는 문맥적 이유로 이 취약점이 귀하에게 적용되지 않습니다.
각 경우에 무시(ignore) 기능을 사용하여 테스트를 실행할 때마다 이러한 문제가 나타나지 않도록 할 수 있습니다.
무시 기능 구현
그룹 관리자(Group Admin) 또는 조직 관리자(Organization Admin)에게 무시를 확인하십시오. 그들이 직접 이 단계를 완료해야 할 수도 있습니다.
무시를 추가할 때:
상세한 사유를 추가하여 이 문제를 보는 다른 사람들이 무시 사유를 명확히 알 수 있도록 하십시오.
영구적인 무시보다는 무시 만료 날짜를 설정하십시오. 현재는 문제를 수정할 수 없거나 관련이 없더라도 수정 구현이 가능한지 정기적으로(매월 또는 분기별로) 검토해야 하므로 이는 필수적입니다.
일반 설정(General Settings)을 사용하여 사용자가 문제를 무시할 수 있는 권한을 제한하고 사유를 요구하는 것이 일반적입니다.
기본적으로 Organization Collaborator 역할은 문제를 무시할 수 있는 권한이 있지만, 이는 설정 페이지에서 조직별로 제어할 수 있습니다(즉, Organization admins로만 제한).
자세한 내용은 문제 무시를 참조하십시오.
Snyk 보고서를 검토하여 팀 전체의 Snyk 채택 추적
Snyk에는 문제와 취약점에 대한 개요를 파악하는 데 도움이 되는 다양한 보고서가 있습니다. 자세한 내용은 보고(Reporting)를 참조하십시오.
Issues Summary 보고서에서 Risk Breakdown 섹션은 여러 조직에 걸쳐 열려 있는 문제, 새로운 문제 및 해결된 문제를 표시합니다. 각 조직의 활동량을 추적하면 어떤 팀이 도구를 가장 적극적으로 채택하고 있는지 식별하는 데 도움이 될 수 있습니다.
개별 조직 관리자는 자신의 리포지토리에서 어떤 취약점이 가장 흔한지 식별하고 서로 다른 프로젝트에서 해결된 문제를 추적하기 위한 방법으로 자신의 조직에 집중된 보고서를 볼 수도 있습니다.
Last updated