프로덕션 컨텍스트를 사용하여 Dependabot 및 코드 검사 경고 우선 순위 지정

외부 레지스트리인 JFrog Artifactory, 사용자 고유의 CI/CD 워크플로, 또는 Microsoft Defender for Cloud에서 가져온 메타데이터를 사용하여 프로덕션에 배포된 아티팩트 내 Dependabot 및 code scanning 경고를 대상으로 하여 실제 위험에 대한 수정에 초점을 맞춥니다.

이 기사에서

AppSec(Application Security) 관리자는 대용량 경고에 압도되는 경우가 많으며, 그 중 상당수는 영향을 받는 코드가 프로덕션 환경에 영향을 미치지 않기 때문에 실제 위험을 나타내지 않을 수 있습니다. 경고를 프로덕션 컨텍스트와 연결하면 실제 운영 환경의 승인된 아티팩트에 영향을 미치는 취약점만 필터링하여 우선순위를 정할 수 있습니다. 이를 통해 팀은 가장 치명적인 취약점을 해결하는 데 집중할 수 있으며, 불필요한 노이즈를 줄여 전반적인 보안 수준을 한층 더 높일 수 있습니다.

1. 아티팩트 및 프로덕션 컨텍스트 연결

          GitHub's linked artifacts page 를 사용하면 REST API 또는 파트너 통합을 사용하여 회사 빌드에 대한 프로덕션 컨텍스트를 제공할 수 있습니다. 그러면 팀에서 이 컨텍스트를 사용하여 우선 순위를 지정 Dependabot 하고 code scanning 경고를 할 수 있습니다. 자세한 내용은 [AUTOTITLE](/code-security/concepts/supply-chain-security/linked-artifacts)을(를) 참조하세요.

프로덕션 컨텍스트를 제공하려면 다음을 수행하도록 시스템을 구성해야 합니다.

  • 아티팩트가 **** 프로덕션 승인 패키지 리포지토리로 승격될 때마다 linked artifacts page를 업데이트합니다.

  • 아티팩트가 프로덕션 환경에 배포될 때 배포 레코드 를 업데이트합니다.

            GitHub는 이 메타데이터를 처리하고 이를 사용하여 스토리지 레코드 및 배포 레코드 `artifact-registry-url``artifact-registry` 와 같은 `has:deployment``runtime-risk` 경고 필터에 전원을 공급합니다.

레코드 업데이트에 대한 자세한 내용은 스토리지 및 배포 데이터를 linked artifacts page에 업로드합니다.을 참조하세요.

2. 프로덕션 컨텍스트 필터 사용

프로덕션 컨텍스트 필터는 탭 아래의 경고 보기 및 보안 캠페인 보기에서 Security and quality 사용할 수 있습니다.

  •         **
        Dependabot alerts 보기**: [보기를 참조하세요 Dependabot alerts](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts#viewing-dependabot-alerts)

  •         **
        Code scanning 경고 보기**: [AUTOTITLE](/code-security/code-scanning/managing-code-scanning-alerts/assessing-code-scanning-alerts-for-your-repository)을 참조하세요.

  •         **보안 캠페인 보기**: [AUTOTITLE](/code-security/securing-your-organization/fixing-security-alerts-at-scale/creating-managing-security-campaigns)을 참조하세요.

경고 목록이 표시되면 조직 보기에서 artifact-registry-url 또는 artifact-registry 필터를 사용하여 프로덕션에 있는 아티팩트에 영향을 미치는 취약성에 초점을 맞춥니다.

  • 호스팅 my-registry.example.com되는 자체 아티팩트 리포지토리의 경우 다음을 사용합니다.

    Text
    artifact-registry-url:my-registry.example.com

  • JFrog Artifactory를 사용하는 경우, 에서 별도의 설정 없이 를 사용할 수 있습니다.

    Text
    artifact-registry:jfrog-artifactory

            `has:deployment` 및 `runtime-risk` 필터를 사용하여 배포 메타데이터에서 배포 중이거나 런타임 취약성의 위험이 있는 것으로 표시된 취약성에 집중할 수도 있습니다. 이 데이터는 MDC를 연결한 경우 자동으로 채워집니다. 다음은 그 예입니다.

  • 인터넷에 노출되는 배포된 코드의 경고에 집중하려면 다음을 사용합니다.

    Text
    has:deployment AND runtime-risk:internet-exposed

이러한 프로덕션 컨텍스트 필터를 EPSS와 같은 다른 필터와 결합할 수도 있습니다.

Text
epss > 0.5 AND artifact-registry-url:my-registry.example.com

3. 프로덕션 코드에서 경고 수정

이제 프로덕션 코드를 악용할 위험에 처하게 하는 경고를 확인했으므로 긴급하게 수정해야 합니다. 가능한 경우 자동화를 사용하여 수정 장벽을 낮춥다.

  •         **
        Dependabot alerts:** 보안 수정을 위해 자동화된 끌어오기 요청을 사용합니다. 
        [AUTOTITLE](/code-security/dependabot/dependabot-security-updates/configuring-dependabot-security-updates)을(를) 참조하세요.

  •         **
        Code scanning 알림:**Copilot 자동 수정을 사용하여 대상 캠페인을 만듭니다. 
        [AUTOTITLE](/code-security/securing-your-organization/fixing-security-alerts-at-scale/creating-managing-security-campaigns)을(를) 참조하세요.

추가 읽기

  •         [AUTOTITLE](/code-security/securing-your-organization/understanding-your-organizations-exposure-to-vulnerabilities/prioritizing-dependabot-alerts-using-metrics)