AppSec(Application Security) 관리자는 대용량 경고에 압도되는 경우가 많으며, 그 중 상당수는 영향을 받는 코드가 프로덕션 환경에 영향을 미치지 않기 때문에 실제 위험을 나타내지 않을 수 있습니다. 경고를 프로덕션 컨텍스트와 연결하면 실제 운영 환경의 승인된 아티팩트에 영향을 미치는 취약점만 필터링하여 우선순위를 정할 수 있습니다. 이를 통해 팀은 가장 치명적인 취약점을 해결하는 데 집중할 수 있으며, 불필요한 노이즈를 줄여 전반적인 보안 수준을 한층 더 높일 수 있습니다.
1. 아티팩트 및 프로덕션 컨텍스트 연결
GitHub's linked artifacts page 를 사용하면 REST API 또는 파트너 통합을 사용하여 회사 빌드에 대한 프로덕션 컨텍스트를 제공할 수 있습니다. 그러면 팀에서 이 컨텍스트를 사용하여 우선 순위를 지정 Dependabot 하고 code scanning 경고를 할 수 있습니다. 자세한 내용은 연동된 아티팩트 개요을(를) 참조하세요.
프로덕션 컨텍스트를 제공하려면 다음을 수행하도록 시스템을 구성해야 합니다.
- 아티팩트가 **** 프로덕션 승인 패키지 리포지토리로 승격될 때마다 linked artifacts page를 업데이트합니다.
- 아티팩트가 프로덕션 환경에 배포될 때 배포 레코드 를 업데이트합니다.
GitHub는 이 메타데이터를 처리하고 이를 사용하여 스토리지 레코드 및 배포 레코드 artifact-registry-url``artifact-registry 와 같은 has:deployment``runtime-risk 경고 필터에 전원을 공급합니다. 배포 레코드의 런타임 위험도 개별 code scanning 및 Dependabot 경고 페이지의 속성으로 표시됩니다.
레코드 업데이트에 대한 자세한 내용은 스토리지 및 배포 데이터를 에 업로드 linked artifacts page을 참조하세요.
2. 프로덕션 컨텍스트 필터 사용
프로덕션 컨텍스트 필터는 탭 아래의 경고 보기 및 보안 캠페인 보기에서 Security and quality 사용할 수 있습니다.
- Dependabot 보기: 보기를 참조하세요 Code scanning
- GitHub 경고 보기: 리포지토리에 대한 코드 검사 경고 평가을 참조하세요.
- 보안 캠페인 보기: 보안 캠페인 생성 및 관리하기을 참조하세요.
경고 목록이 표시되면 조직 보기에서 artifact-registry-url 또는 artifact-registry 필터를 사용하여 프로덕션에 있는 아티팩트에 영향을 미치는 취약성에 초점을 맞춥니다.
-
호스팅
my-registry.example.com되는 자체 아티팩트 리포지토리의 경우 다음을 사용합니다.Text artifact-registry-url:my-registry.example.com
artifact-registry-url:my-registry.example.com -
JFrog Artifactory를 사용하는 경우,
에서 별도의 설정 없이 를 사용할 수 있습니다. Text artifact-registry:jfrog-artifactory
artifact-registry:jfrog-artifactory
has:deployment 및 runtime-risk 필터를 사용하여 배포 메타데이터에서 배포 중이거나 런타임 취약성의 위험이 있는 것으로 표시된 취약성에 집중할 수도 있습니다. 이 데이터는 MDC를 연결한 경우 자동으로 채워집니다. 다음은 그 예입니다.
-
인터넷에 노출되는 배포된 코드의 경고에 집중하려면 다음을 사용합니다.
Text has:deployment AND runtime-risk:internet-exposed
has:deployment AND runtime-risk:internet-exposed
이러한 프로덕션 컨텍스트 필터를 EPSS와 같은 다른 필터와 결합할 수도 있습니다.
epss > 0.5 AND artifact-registry-url:my-registry.example.com
epss > 0.5 AND artifact-registry-url:my-registry.example.com
3. 프로덕션 코드에서 경고 수정
이제 프로덕션 코드를 악용할 위험에 처하게 하는 경고를 확인했으므로 긴급하게 수정해야 합니다. 가능한 경우 자동화를 사용하여 수정 장벽을 낮춥다.
- Dependabot alerts: 보안 수정을 위해 자동화된 끌어오기 요청을 사용합니다. Dependabot 보안 업데이트 구성을(를) 참조하세요.
- **Code scanning 알림:**코파일럿 자동 수정을 사용하여 대상 캠페인을 만듭니다. 보안 캠페인 생성 및 관리하기을(를) 참조하세요.