보안이 중요한 이유
- 게시된 프로젝트는 공개 경로와 API를 포함해 인터넷에서 접근할 수 있습니다.
- 최신 프로젝트는 많은 패키지에 의존하며, 게시 이후에도 새로운 CVE가 나타날 수 있습니다.
- AI가 생성한 코드도 특히 인증, 데이터베이스 쿼리, 시크릿, 데이터 처리와 관련해 보안 검토가 필요합니다.
- 컴플라이언스 프로그램은 종종 종속성 인벤토리, 취약점 추적, 완화 조치에 대한 증거를 요구합니다.
시작하는 방법
- 패키지를 설치하고 있나요? Package Firewall이 설치 시점에 악성 종속성을 차단하며, 기본으로 켜져 있습니다.
- 단일 프로젝트에서 작업 중인가요? Project Security Center를 사용하세요.
- 워크스페이스 전체를 감사하고 있나요? Workspace Security Center를 사용하세요.
- 용어의 정의가 필요한가요? 보안 개념을 읽어보세요.
- 설치 시점: Package Firewall이 악성 및 손상된 패키지를 다운로드되기 전에 차단합니다.
- 설치 후: 자동 종속성 스캔이 새로 공개된 CVE를 탐지하며, Auto-Protect가 이에 대한 Agent 패치를 준비할 수 있습니다.
- 게시 전: Security Agent가 코드베이스를 감사해 코드, 종속성, 개인정보 관련 취약점을 찾아냅니다.
제품 내에서 보안이 위치하는 곳
프로젝트 내부
Security 패널을 열어 프로젝트 수준의 발견 사항을 검토하고, Agent 보안 스캔을 실행하고, 게시 전에 종속성 취약점을 확인하세요.
워크스페이스 내부
홈 사이드바에서 Security를 선택해 프로젝트 전체의 취약점을 검토하고, 노출도에 따라 발견 사항의 우선순위를 정하고, 워크스페이스 수준의 스캔 기록을 추적하세요.
게시 및 설정에서
- Publish > Advanced에서 Block publishing of critical vulnerabilities를 사용해 심각한(critical) 발견 사항이 배포되지 않도록 막을 수 있습니다.
- Settings > Account > Advanced에서 Agent가 준비하는 종속성 완화 조치에 대한 Auto-Protect 심각도 임계값을 설정하세요.