롤아웃 계획 생성

모든 비즈니스는 다릅니다. 팀이 이미 보안 도구를 사용해 보았고 규정 준수가 중요한 산업에 종사하고 있다면 제어 장치를 비교적 빠르게 켤 수 있습니다. 하지만 개발의 일환으로 보안을 도입하는 것이 처음이라면 도구와 제어 장치를 단계별로 롤아웃하는 것이 강력히 권장됩니다.

권장되는 온보딩 접근 방식

비즈니스에 Snyk을 도입할 때, Snyk은 통합을 구성한 후 다음과 같은 단계별 롤아웃을 제안합니다.

1. 파일럿 팀으로 시작

다음 중에서 참여도가 높은 소규모 파일럿 사용자 그룹을 선택하여 시작하십시오.

• 애플리케이션 보안 팀 (해당하는 경우)

• 새로운 애플리케이션을 구축하는 프로젝트 팀

• 비즈니스 크리티컬 애플리케이션의 개발자

이를 통해 다음이 가능해집니다.

• 초기 사용자를 철저히 온보딩

• 프로세스 개선을 위한 피드백 수집

• 광범위한 롤아웃 전에 문제 식별

• Snyk을 홍보하기 위한 성공 사례 구축

일반적으로 가시성을 위해 리포지토리 통합을 사용하여 모든 것을 가져오고 소규모 파일럿 팀과 함께 롤아웃을 진행하면 환경 내에서 Snyk을 구현하는 가장 좋은 프로세스와 방법을 식별할 수 있습니다.

2. Git 리포지토리 통합을 통한 가시성 확보

다음으로, Git 리포지토리 전체에 Snyk 통합을 설정하여 보안 상태에 대한 폭넓은 가시성을 확보하십시오.

이 프로세스를 사용하는 주요 장점은 다음과 같습니다.

• 코드베이스 전반에 걸친 광범위한 스캔

• 코드 변경 시 트리거되는 자동 스캔

• 적용 범위를 확보하는 편리한 방법

3. 주요 애플리케이션의 우선순위 지정

파일럿 팀이 타겟팅된 Snyk CLI 스캔을 사용하여 우선순위가 높은 애플리케이션의 보안을 확보하는 데 집중하도록 하십시오.

이 프로세스를 사용하는 주요 장점은 다음과 같습니다.

• 중요한 앱에 대한 향상된 가시성

• 정밀도를 위한 미세 조정된 CLI 테스트

• 집중된 보기를 위해 리포지토리 노이즈 제거

4. 액세스 확장

우선순위가 해결되고 프로세스가 정제되면 팀 전체로 액세스를 더 넓게 확장하기 시작하십시오.

이 단계별 접근 방식을 사용하면 가시성과 통제력을 신속하게 확보하면서도 신중한 온보딩이 가능합니다.

5. 게이팅(Gating) 활성화

첫 달 이후에는 게이팅 조치를 점진적으로 켜십시오.

• 심각도 및 수정 가능 여부와 같은 기준을 사용한 풀 리퀘스트/병합 리퀘스트 확인.

• 오픈소스의 경우 High 또는 Critical, CVSS, Mature Exploit과 같은 기준 및 Snyk Filter 플러그인을 사용한 기타 기준에 따라 빌드 실패 처리.

특히 파일럿 팀 단계에서는 몇 개의 애플리케이션으로 시작하여 프로세스를 진행한 다음 더 널리 롤아웃하는 것이 권장됩니다.

예외 처리

예외 프로세스가 마련되어 있고 사용자가 이를 인지하고 있는지 확인하십시오. 예를 들어:

• Snyk에 의해 풀 리퀘스트/병합 리퀘스트가 실패한 경우, 이를 재정의할 수 있는 Snyk 관리자가 누구인지 사용자에게 알리십시오.

• 마찬가지로 CI/CD에서 Snyk이 실패한 경우, 누가 무시(ignore) 규칙을 생성하거나, 진행을 승인하거나, Snyk test 없이 CI/CD를 실행하거나 monitor 전용으로 설정하도록 구성할 수 있는지 사용자에게 알리십시오.