프로덕션 컨텍스트를 사용하여 Dependabot 및 코드 검사 경고 우선 순위 지정

JFrog Artifactory, 자체 CI/CD 워크플로 또는 Microsoft Defender for Cloud와 같은 외부 레지스트리의 메타데이터를 활용하여 프로덕션에 배포된 아티팩트에서 Dependabot 및 code scanning 경고를 식별하고, 실제 위험에 대한 문제 해결에 집중하세요.

이 문서의 내용

AppSec(Application Security) 관리자는 대용량 경고에 압도되는 경우가 많으며, 그 중 상당수는 영향을 받는 코드가 프로덕션 환경에 영향을 미치지 않기 때문에 실제 위험을 나타내지 않을 수 있습니다. 경고를 프로덕션 컨텍스트와 연결하면 실제 운영 환경의 승인된 아티팩트에 영향을 미치는 취약점만 필터링하여 우선순위를 정할 수 있습니다. 이를 통해 팀은 가장 치명적인 취약점을 해결하는 데 집중할 수 있으며, 불필요한 노이즈를 줄여 전반적인 보안 수준을 한층 더 높일 수 있습니다.

1. 아티팩트 및 프로덕션 컨텍스트 연결

GitHub의 linked artifacts page를 사용하면 REST API 또는 파트너 통합을 사용하여 회사 빌드에 대한 프로덕션 컨텍스트를 제공할 수 있습니다. 그러면 Teams에서 이 컨텍스트를 사용하여 Dependabot 및 code scanning 경고의 우선 순위를 지정할 수 있습니다. 자세한 내용은 연동된 아티팩트 개요을(를) 참조하세요.

프로덕션 컨텍스트를 제공하려면 다음을 수행하도록 시스템을 구성해야 합니다.

  • 아티팩트가 프로덕션 승인 패키지 리포지토리로 승격될 때마다 linked artifacts page의 스토리지 레코드 를 업데이트합니다.
  • 아티팩트가 프로덕션 환경에 배포될 때 배포 레코드 를 업데이트합니다.

GitHub은(는) 이 메타데이터를 처리하고 이를 사용하여 스토리지 레코드 및 배포 레코드 artifact-registry-url``artifact-registry 와 같은 has:deployment``runtime-risk 경고 필터에 전원을 공급합니다.

레코드 업데이트에 대한 자세한 내용은 스토리지 및 배포 데이터를 linked artifacts page에 업로드합니다.을 참조하세요.

2. 프로덕션 컨텍스트 필터 사용

프로덕션 컨텍스트 필터는 보안 탭의 경고 보기 및 보안 캠페인 보기에서 사용할 수 있습니다.

  •         **Dependabot alerts 보기**: [Dependabot alerts](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts#viewing-dependabot-alerts) 보는 방법을 참고하세요.

  •         **Code scanning 경고 보기**: [AUTOTITLE](/code-security/code-scanning/managing-code-scanning-alerts/assessing-code-scanning-alerts-for-your-repository)을 참조하세요.

  •         **보안 캠페인 보기**: [AUTOTITLE](/code-security/securing-your-organization/fixing-security-alerts-at-scale/creating-managing-security-campaigns)을 참조하세요.

경고 목록이 표시되면 조직 보기에서 artifact-registry-url 또는 artifact-registry 필터를 사용하여 프로덕션에 있는 아티팩트에 영향을 미치는 취약성에 초점을 맞춥니다.

  • 호스팅 my-registry.example.com되는 자체 아티팩트 리포지토리의 경우 다음을 사용합니다.

    Text
    artifact-registry-url:my-registry.example.com

  • JFrog Artifactory를 사용하는 경우 GitHub에서 추가 설정 없이 사용할 artifact-registry 수 있습니다.

    Text
    artifact-registry:jfrog-artifactory

            `has:deployment` 및 `runtime-risk` 필터를 사용하여 배포 메타데이터에서 배포 중이거나 런타임 취약성의 위험이 있는 것으로 표시된 취약성에 집중할 수도 있습니다. MDC에 연결한 경우 이 데이터가 자동으로 채���집니다. 다음은 그 예입니다.

  • 인터넷에 노출되는 배포된 코드의 경고에 집중하려면 다음을 사용합니다.

    Text
    has:deployment AND runtime-risk:internet-exposed

이러한 프로덕션 컨텍스트 필터를 EPSS와 같은 다른 필터와 결합할 수도 있습니다.

Text
epss > 0.5 AND artifact-registry-url:my-registry.example.com

3. 프로덕션 코드에서 경고 수정

이제 프로덕션 코드를 악용할 위험에 처하게 하는 경고를 확인했으므로 긴급하게 수정해야 합니다. 가능한 경우 자동화를 사용하여 수정 장벽을 낮춥다.

  •         **Dependabot alerts:** 보안 패치를 위해 자동 생성된 풀 리퀘스트를 사용합니다. 
        [AUTOTITLE](/code-security/dependabot/dependabot-security-updates/configuring-dependabot-security-updates)을(를) 참조하세요.

  •         **Code scanning 경고:** 코파일럿 자동 수정을 사용하여 목표 캠페인을 만드세요. 
        [AUTOTITLE](/code-security/securing-your-organization/fixing-security-alerts-at-scale/creating-managing-security-campaigns)을(를) 참조하세요.

추가 읽기

  •         [AUTOTITLE](/code-security/securing-your-organization/understanding-your-organizations-exposure-to-vulnerabilities/prioritizing-dependabot-alerts-using-metrics)