프로젝트 가져오기

구성한 통합 기능과 기술 스택의 언어/패키지 관리자에 따라 다음을 사용하여 Snyk으로 프로젝트를 가져올 수 있습니다.

• Git 리포지토리와의 소스 제어 통합

• CI/CD와 함께 Snyk CLI 사용

가장 좋은 가져오기 경로는 기술 스택의 언어 및 패키지 관리자에 따라 다릅니다.

최적의 시작 지점을 결정하기 위한 몇 가지 주요 사항은 다음과 같습니다.

Snyk 시작하기

필요에 따라 Snyk은 다양한 통합 방법을 제공합니다.

Git 통합

자세한 내용은 Snyk과 Git 리포지토리(SCM) 통합을 참조하십시오.

자동 스캔을 위해 리포지토리를 연결하십시오.

애플리케이션 수가 적은 경우(일반적으로 100개 미만):

1. Snyk 웹 UI의 Settings-Integrations 페이지에서 Git 코드 리포지토리에 연결합니다.

2. 통합 설정에서:

   1. 프로젝트를 처음 온보딩할 때는 자동 수정 및 PR/병합 확인을 비활성화합니다.

   2. 안정된 상태에 도달하고 차단이 필요할 때 이를 활성화합니다.

3. Projects 페이지에서 프로젝트를 추가합니다.

4. Git 코드 리포지토리에서 결과를 모니터링합니다.

수백 또는 수천 개의 리포지토리가 있는 경우:

• 대규모 환경의 경우 Snyk은 API 사용을 권장합니다. API는 Snyk 엔터프라이즈 플랜에서 사용할 수 있습니다.

  • Snyk API를 사용하여 프로젝트를 가져옵니다. 이는 기존 소스 제어 통합을 활용하며 프로세스 자동화에 사용될 수 있습니다.

  • API-import 도구는 API를 사용하여 대규모 엔터프라이즈의 온보딩을 관리하며, 대규모 환경에서 권장되는 도구입니다. 소스 제어 구조를 미러링해야 합니다.

Snyk CLI

자세한 내용은 Snyk CLI를 참조하십시오.

CLI를 사용하면 개별 프로젝트를 세밀하게 스캔할 수 있습니다.

Snyk CLI를 사용하려면:

1. 빌드 스크립트의 일부로 적절한 방법 중 하나를 사용하여 CLI를 설치합니다.

2. snyk auth 명령어나 환경 변수를 사용하여 CLI 사용을 위한 인증을 수행합니다.

3. 스크립트에서 프로젝트 폴더로 이동합니다.

4. 실행하려는 스캔 유형에 맞는 적절한 snyk test 또는 snyk monitor 명령 및 옵션을 실행합니다.

   스크립트 내에서 테스트를 구현하는 위치는 일반적으로 유연하지만 가장 흔한 것은 배포 전입니다. Snyk 오픈소스 및 Snyk 컨테이너의 경우 수동적인 보고를 위해 monitor 명령만 사용하십시오. test 명령을 통해 게이팅을 사용하는 경우, --severity-threshold나 CLI 또는 snyk-filter 플러그인의 다양한 옵션에 의해 설정된 특정 기준을 충족하는 문제가 발견되면 빌드를 중단하는 것이 목적입니다.

   일반적으로 Snyk 오픈소스는 종속성이 빌드 시스템에 설치된 후 test 및/또는 monitor 모드에서 실행됩니다.

   전형적인 명령은 다음과 같습니다:

   • 코드: snyk code test --org=[org-id]

   • 오픈소스:

     • snyk test --all-projects --org=[org-id]

     • snyk monitor --all-projects --org=[org-id] [org-id]를 귀하의 조직 ID로 바꾸십시오.

   • 컨테이너 및 코드형 인프라 스캔의 경우, 스캔 대상 유형에 따라 다르므로 컨테이너 및 코드형 인프라를 참조하십시오.

5. snyk test를 실행할 때는 로컬에서 결과를 검토하고, monitor나 report를 사용할 때는 Snyk 웹 UI에서 결과를 검토합니다.

다양한 파이프라인 통합 데모는 Snyk-Labs를 참조하십시오.