엔터프라이즈 설정
엔터프라이즈 구성은 엔터프라이즈 Snyk 솔루션을 이해하고 계획하며 롤아웃하는 데 중점을 둡니다. 여기에는 다음이 포함됩니다.
이 페이지들은 Snyk 엔터프라이즈 플랜을 사용하는 동안 인증하고 연결하는 방법에 대한 지침을 제공합니다.
엔터프라이즈 구현 가이드는 오픈소스 및 코드 분석에 중점을 둡니다. 컨테이너 및 코드형 인프라(IaC)에 대한 업데이트가 계획되어 있습니다.
이 페이지에서는 피드백과 동의를 얻기 위해 팀원 중 여러 명을 Snyk 체험에 참여시키는 방법을 살펴봅니다.
무료(Free) 또는 팀(Team) 플랜에서 Snyk을 사용해 왔으며 엔터프라이즈 플랜으로 업그레이드하기 위한 지침을 찾고 있다면, 엔터프라이즈 구현 가이드를 참조하십시오.
Snyk은 전체 소프트웨어 개발 수명 주기의 보안을 돕는 다양한 도구와 프로세스를 보유하고 있습니다. Snyk을 사용하면 코딩하는 동안 스캔하거나, 작업 중이 아닐 때 코드를 모니터링할 수 있습니다. 또한 Git 리포지토리 통합을 통해 프로젝트 전반의 이슈에 대한 가시성을 제공하거나, 플러그인, CLI 또는 큐레이팅된 컨테이너를 통해 CI/CD에 통합할 수 있습니다.
Snyk을 평가 중이거나 엔터프라이즈 배포를 계획 중인 사용자와 대부분의 프로그래밍 언어의 경우, Snyk은 시작하기 위해 Git 리포지토리와 통합할 것을 권장합니다.
기술 스택, 환경 및 워크플로에 가장 적합한 도구는 개별 상황에 따라 다릅니다. 자세한 내용은 해당 언어에 특화된 가이드인 지원되는 언어 및 프레임워크를 참조하십시오.
현재의 보안 성숙도 수준에서 본인과 팀을 위해 소프트웨어 개발 수명 주기 내에서 최적의 통합 지점을 선택하는 방법에 대해 자세히 알아보려면 회사에 Snyk 통합하기를 참조하십시오.
이 페이지의 나머지 부분에서는 Git 리포지토리를 Snyk에 연결하는 방법과 해당 리포지토리에 있는 Snyk 프로젝트 스캔 결과를 표시하는 방법을 설명합니다. 팀에 Snyk 구현 프로세스를 시작하기 전에 Snyk이 어떻게 작동하는지 이해하도록 돕는 데 중점을 둡니다.
Snyk은 각 스캔 유형(Snyk 오픈소스, 코드, 컨테이너, IaC)에 대해 매월 제한된 수의 무료 테스트를 제공합니다. 무제한 테스트를 위해, 수행하려는 테스트 유형에 대한 유료 플랜을 보유하고 있는지, 그리고 해당 유형에 대한 설정이 활성화되었는지 확인하십시오.
Snyk 계정 생성 또는 로그인
로컬 환경 내에서라도 Snyk 기능을 사용하려면 Snyk 계정이 있어야 합니다. 프로젝트에 대해 Snyk을 사용해 보려면 무료 계정을 생성하십시오. 엔터프라이즈에서 이미 Snyk을 사용 중인 경우, 싱글 사인온(SSO)을 사용하여 로그인하여 Snyk 계정을 프로비저닝받을 수 있습니다.
Snyk Code 활성화
Snyk에서 새로운 조직을 생성하면 Snyk Code (SAST) 스캔은 기본적으로 비활성화되어 있습니다. Snyk으로 첫 프로젝트를 가져오기 전에 Snyk Code 제품을 활성화할 것을 권장합니다.
Settings > Snyk Code 옵션을 선택합니다.
토글을 클릭하여 Snyk Code를 활성화한 다음 Save changes를 클릭합니다.
Snyk 프로젝트 추가
Git 리포지토리 통합을 연결하기 위해 Snyk 프로젝트를 추가합니다. 이 비디오는 프로세스를 보여줍니다.
초기 Snyk 통합 설정 구성
Git 리포지토리가 연결되면(자세한 내용은 Git 리포지토리 통합(SCM) 참조), 풀 리퀘스트의 취약점을 자동으로 확인하고, 풀 리퀘스트를 자동 생성하며, 종속성 업그레이드 풀 리퀘스트를 자동 생성하는 자동화된 프로세스를 사용할 수 있습니다. Snyk은 초기에 이러한 옵션을 비활성화할 것을 권장합니다.
각 Snyk 프로젝트의 설정은 Snyk 조직의 통합 설정에서 상속됩니다. 다음 설정들이 비활성화되었는지 확인하려면 다음 단계를 따르십시오: 풀 리퀘스트에 대한 기본 Snyk 테스트(Default Snyk test for pull requests), 자동 수정 풀 리퀘스트(Automatic fix pull requests), 자동 종속성 업그레이드 풀 리퀘스트(Automatic dependency upgrade pull requests), Dockerfile 베이스 이미지 자동 업데이트(Automatic updates to Dockerfile base images). 팀이 이러한 옵션을 구현할 준비가 되었을 때 다시 돌아와서 이 설정들을 활성화할 수 있습니다.
왼쪽 탐색 메뉴에서 Integrations 페이지를 선택합니다.
Git 리포지토리 통합에 대한 설정 톱니바퀴 아이콘을 선택합니다.
Default Snyk test for pull requests 섹션에서 다음이 비활성화되어 있는지 확인합니다.
Open Source Security & Licenses (PR이 열릴 때의 기본 확인)
Automatic fix pull requests: New vulnerabilities 및 Known vulnerabilities (backlog) 모두
Automatically update Dockerfile base images
Automatic dependency upgrade pull requests
Snyk은 프로젝트를 몇 개 이상 추가하기 전에 이러한 옵션에 대한 표준과 알림 기본값을 정의할 것을 권장합니다. 팀이 더 광범위한 구현을 할 준비가 되면, 보안 성숙도에 따라 이러한 옵션에 대한 표준을 정의할 것을 권장합니다. 자세한 내용은 통합 구성을 참조하십시오.
Snyk 스캔 결과 검토
오픈소스 프로젝트의 경우, Snyk은 종속성 및 라이선스 구성 요소 이슈에 대한 가시성을 제공합니다. 일부 패키지 관리자는 이 비디오에서 보여주는 것처럼 특정 이슈를 수정하기 위한 풀 리퀘스트를 여는 링크도 제공합니다.
Snyk은 또한 자체 코드의 잠재적인 보안 및 품질 이슈에 대한 정보를 제공하고, 권장 사항과 몇 가지 해결 예시를 제공합니다. 이 비디오에서 확인할 수 있습니다.
Snyk이 리포지토리에서 Dockerfile을 식별하면, 감지된 취약점을 포함하여 베이스 이미지에 대한 정보를 제공합니다. 또한 이 비디오에서 보여주는 것처럼 베이스 이미지를 더 안전한 이미지로 교체하기 위해 풀 리퀘스트를 여는 옵션도 제공합니다.
Snyk이 리포지토리에서 Kubernetes 또는 Terraform 파일을 식별하면, 구성에 대한 정보를 제공합니다. 다음 비디오는 Snyk이 제공하는 정보를 보여줍니다.
Snyk CLI로 스캔
일부 패키지 관리자는 로컬 환경의 컨텍스트에 의존합니다. 이러한 패키지 관리자의 경우, 로컬 환경에서 또는 CI/CD 파이프라인의 일부로 스캔하는 것이 가장 정확한 결과를 제공합니다.
Snyk CLI 또는 CI/CD 플러그인 사용을 시작하려면 Snyk CLI를 설치하십시오. 설치한 후에는 이 비디오에서 보여주는 것처럼 CLI를 Snyk 계정과 연결하기 위해 컴퓨터를 인증해야 합니다.
이 비디오에서 보듯이 Snyk test 스캔은 수정 조언을 포함하여 오픈소스 패키지 이슈에 대한 정보를 제공합니다.
snyk code test 스캔은 해당 프로젝트의 코드에 대해 정적 코드 분석(SAST) 테스트를 실행하고, 감지된 취약점 이슈 목록, 테스트에 대한 일반 정보 및 테스트 결과 요약을 반환합니다.
snyk container test 스캔은 컨테이너 이미지의 취약점 목록과 함께 베이스 이미지를 더 안전한 이미지로 업그레이드하기 위한 권장 사항을 반환합니다.
snyk iac test 스캔은 코드형 인프라(IaC) 파일에서 발견된 이슈를 해결하는 방법에 대한 조언을 반환합니다.
Snyk 엔터프라이즈 플랜 구현의 다음 단계
귀하의 기술 스택에 대한 구체적인 권장 사항을 얻으려면, 해당 언어에 특화된 가이드를 방문하십시오.
더 많은 팀에 Snyk 롤아웃을 계획할 준비가 되면, 엔터프라이즈 구현 가이드에서 더 많은 정보를 확인하십시오.
더 넓은 대상에게 Snyk을 롤아웃하기 위한 추가 전략, 소통 템플릿 및 체크리스트는 개발자 런칭 패키지를 참조하십시오.
Last updated