참고 항목
프로덕션 컨텍스트는 공개 미리 보기 상태이며 변경될 수 있습니다.
프로덕션 컨텍스트를 사용하여 Dependabot alerts 우선 순위 지정
AppSec(애플리케이션 보안) 관리자는 종종 너무 많이 쏟아지는 Dependabot alerts로 인해 감당하기 힘들 때가 많습니다. 하지만 영향을 미칠 수 있는 코드가 실제 프로덕션에는 적용되지 않기 때문에 실제로는 위험하지 않을 수 있습니다. 프로덕션 컨텍스트를 경고에 연결하면, 실제 프로덕션 환경에서 승인된 아티팩트에 영향을 주는 취약점만 필터링하고 우선 순위를 지정할 수 있습니다. 이를 통해 팀은 가장 중요한 취약점 해결에 집중할 수 있으며, 불필요한 노이즈를 줄이고 보안 수준을 향상시킬 수 있습니다.
Dependabot alerts에 프로덕션 컨텍스트 연결
GitHub는 Storage Record API를 제공하여 Dependabot alerts에 프로덕션 컨텍스트를 활성화합니다. 이 API를 사용하면 패키지 레지스트리 또는 GitOps 워크플로가 아티팩트 수명 주기 데이터를 GitHub에 보낼 수 있습니다. 아티팩트가 프로덕션 승인 패키지 리포지토리로 승격될 때마다 이 API를 호출해야 합니다.
GitHub는 이 메타데이터를 처리하여 artifact-registry-url 및 artifact-registry와 같은 새로운 알림 필터를 구동하는 데 사용합니다. 자세한 내용은 REST API 설명서의 아티팩트 메타데이터 스토리지 레코드 만들기를 참조하세요.
경고 우선 순위를 지정하는 단계
경고 우선 순위를 지정하기 위해 프로덕션 컨텍스트를 활성화하고 사용하려면 다음 단계를 따라 수행합니다.
1단계: 프로덕션 아티팩트 승격 감지 및 보고
CI/CD 또는 GitOps 워크플로에서 아티팩트가 프로덕션 승인 패키지 리포지토리로 승격될 때마다 Storage Record API를 호출하여 아티팩트의 메타데이터를 GitHub에 보냅니다. 여기에는 아티팩트의 레지스트리, 리포지토리, 버전과 같은 정보가 포함됩니다. Artifact metadata을(를) 참조하세요.
JFrog Artifactory를 사용하는 경우, 사용자 지정 통합을 수행할 필요가 없습니다. Artifactory는 기본적으로 Storage Record API와 통합됩니다. Artifactory 설정에서 통합을 활성화하기만 하면, Artifactory가 자동으로 프로덕션 승격 이벤트를 GitHub에 내보냅니다.
artifact-registry:jfrog-artifactory 필터는 GitHub에서 추가 설정 없이 바로 작동합니다. 설정 지침은 JFrog 문서의 JFrog 및 GitHub 통합: [GitHub Dependabot용 JFrog]를 참조하세요.
2단계: 프로덕션 컨텍스트 필터 사용
리포지토리의 Dependabot alerts 탭에서 열려 있거나 닫혀 있는 모든 Dependabot alerts 및 해당 Dependabot security updates을(를) 볼 수 있습니다.. 이 탭에 액세스하는 방법에 대한 자세한 내용은 Dependabot alerts 보기를 참조하세요.
경고 목록이 표시되면, artifact-registry-url 또는 artifact-registry 필터를 사용하여 프로덕션에 있는 아티팩트에 영향을 미치는 취약점에 집중할 수 있습니다. 예시:
artifact-registry-url:my-registry.example.com
artifact-registry:jfrog-artifactory
EPSS 등의 다른 필터와 결합할 수도 있습니다.
epss > 0.5 AND artifact-registry-url:my-registry.example.com