팀 구현 가이드
Snyk을 사용하여 팀 성과를 가속화하십시오. 이 가이드는 팀을 위해 Snyk을 구현하는 데 도움을 주기 위한 것입니다. 팀 플랜은 최대 10명의 멤버로 구성된 팀에 적용됩니다.
우리는 대부분의 비즈니스가 다음과 같다는 인식에서 시작합니다.
기존 소프트웨어에 문제 백로그가 있음
지속적으로 새로운 소프트웨어를 만들고 있으며 새로운 코드의 보안을 확보해야 함
일반적인 타임라인
Snyk 조직이 설정되면 코드 리포지토리 통합(PR 확인 비활성화 상태), CI/CD 파이프라인 또는 컨테이너 레지스트리를 통해 코드에 대한 가시성을 즉시 확보하기 시작할 수 있습니다.
중단을 최소화하기 위해 Snyk은 백로그 해결 및 방어에 초점을 맞춘 "시프트 레프트(shift left)" 보안 전략의 점진적인 롤아웃을 권장합니다. 주요 권장 사항으로는 개발자에게 IDE 액세스 권한을 제공하고 단일 프로젝트에서 파일럿을 수행한 후 더 넓은 팀으로 모범 사례를 확장하는 것이 포함됩니다.
구현 전략 개요
이 가이드는 여러 단계로 구성되어 있으며, 계정을 구성하는 일련의 작업과 시스템 외부의 작업을 간략하게 설명하며 다음 목표에 부합합니다.
가시성 확보
가시성에 먼저 집중하면 보안 문제를 명확하게 파악할 수 있지만 항상 즉시 수정해야 하는 것은 아닙니다.
이것이 Snyk을 사용하여 문제를 수정하는 것을 막지는 않습니다. 문제를 일찍 수정하기 시작할 수 있지만, 초기에는 개발을 방해하지 않고 신뢰를 구축하며 나중에(일반적으로 방어 단계에서) 게이팅을 서서히 도입하는 것이 중요합니다. 이는 소규모 팀이든 대규모 팀이든 마찬가지이며 소통이 핵심입니다.
가시성을 통해 애플리케이션 포트폴리오 전반의 보안에 대한 폭넓은 시야를 확보하고, Snyk 스캔이 방해 요소로 인식되는 것을 방지하며, 개발 프로세스에 미치는 영향을 최소화할 수 있습니다.
이러한 가시성은 Snyk을 롤아웃하는 동안 신뢰를 구축하는 데 도움이 됩니다. 팀 플랜에서 이는 Git 리포지토리를 통해 프로젝트를 온보딩하고 통합 설정에서 PR 확인/자동 PR을 비활성화하는 것과 같습니다. 중요한 프로젝트를 선택하고 관련 팀원과 소통한 후 PR 확인을 활성화하십시오. 이 가이드의 뒷부분에서 이에 대해 자세히 설명합니다.
방어 달성 및 개발자 채택 유도
다음은 방어 단계입니다. 새로운 보안 문제가 애플리케이션에 추가되는 것을 막아야 합니다. 이 단계에서는 개발자가 풀 리퀘스트(PR)/병합 리퀘스트(MR) 확인을 사용하여 파이프라인에서 문제를 확인하고, 파이프라인에서 빌드를 차단할 수 있는 확인을 수행하도록 제어할 수 있습니다.
이의 일환으로 개발자는 IDE 플러그인과 Snyk Advisor와 같은 다른 도구를 사용하여 안전한 패키지를 선택하고 Snyk Learn을 사용하여 보안 코딩, 보안 및 제품에 대해 교육받을 수 있습니다. 개발자가 IDE 플러그인을 다운로드하여 사용하는 것은 매우 흔한 일입니다. 사용해야 하는 설정과 수정이 가능한 경우 종종 치명적 및 높은 심각도 문제부터 수정을 시작해야 한다는 가이드라인을 제공하십시오.
백로그 수정 및 문제 분류
마지막으로 보안 문제 백로그 수정에 집중할 수 있습니다. 이는 여러 형태를 취할 수 있습니다.
초기 롤아웃의 일부로 보안 팀 또는 초기 이해관계자가 기존 포트폴리오에 대한 초기 결과를 분류하고, 조사하거나 해결해야 할 우선순위 항목에 대한 티켓을 생성하거나, 팀이 주간 분류 프로세스의 일부로 자체 애플리케이션에 대해 이를 수행하도록 할 수 있습니다.
가시성을 확보하고 방어를 달성한 후에는 문제 백로그를 살펴볼 수 있습니다. 예를 들어, 주요 이해관계자와의 주간 분류 프로세스를 통해 팀이 무엇을 해결해야 할지 안내할 수 있습니다.
Snyk으로 강화된 리소스 사용
Snyk은 개발자를 염두에 두고 구축되었으며 다음을 제공합니다.
IDE, Git 및 CI/CD용 통합을 사용하여 안전한 애플리케이션을 생성하는 도구.
결정을 내리는 데 도움이 되는 Snyk Advisor 및 기타 도구.
제품, 코드 보안 및 모범 사례에 대한 Snyk Learn 교육 자료.
Last updated