소스 보기

이 문서는 JFrog Xray에서 Policy를 추가하고 Rule을 적용 및 관리에 대한 가이드를 공유하기 위해 작성되었다.

Xray의 정책 (Policy)과 규칙 (Rules)

정책은 보안 및 라이선스 준수 동작 사양을 정의하고, 규칙 (Rules)은 라이선스 및 보안의 기준에 대해 정의합니다.
정책에 규칙 (Rules) 집합을 만들어 Watch에 매핑할 때 정책을 적용할 대상이 정해집니다 (정책 자체에 적용 대상을 정의하지 않습니다).

효율성 : 정책을 한 번 구성하고 여러 Watch에 할당하여 시간을 절약할 수 있습니다.
유연성 : 보안 규칙의 우선 순위와 같은 추가 기능으로 여러 동작을 구성합니다.
우려 사항 분리 : 조직의 여러 팀에 권한을 위임하여 리소스 및 필터와 관련된 모든 것은 Watch에 있고,
보안 및 라이선스 준수와 관련된 모든 것은 정책에 있습니다.

정책 이름 및 유형 (Security / License / Operational Risk), 설명 입력

CURVC DevOps > JFrog Xray 정책 (Policy) 추가 및 관리하기 > image-2024-10-4_11-38-38.png

CURVC DevOps > JFrog Xray 정책 (Policy) 추가 및 관리하기 > image-2024-10-4_11-32-48-1.png

라이선스 규칙
- Allowed Licenses : 구성 요소에 첨부될 수 있는 OSS 라이선스의 허용 목록을 지정
- Banned Licenses : 구성 요소에 첨부될 수 없는 OSS 라이선스의 차단 목록을 지정
- Multiple license permissive approach : 여러 라이선스가 감지된 경우 적어도 하나의 라이선스가 유효한 경우 위반을 생성하지 않음

정책 위반에 대한 자동 실행 작업을 정의할 수 있습니다.
각 정책 규칙 내에서 하나 이상의 작업을 정의할 수 있습니다.

Generate Violation (Minor, Major, Critical) : 기준을 충족할 경우 생성되는 정책 위반의 심각도
Notify Email : 정책 위반 이벤트가 트리거될 때 Xray가 위반에 대한 이메일 전송 (수신자 이메일 지정 가능하며, Xray에 구성된 메일 서버 필요)
Notify Watch's Recipients : Watch의 수신자 모두에게 위반 사항에 대한 이메일 전송
Notify Deployer : 위반 사항에 대해 구성 요소를 배포한 사용자에게 이메일 전송
Create Jira Ticket : Jira 티켓 생성이 가능
Trigger Webhook : 위반이 발생할 때 호출되어야 하는 Xray에 구성된 웹훅을 지정
Block Download : 해당 위반이 발생한 아티팩트의 다운로드 차단 (두 개의 옵션 중 선택)
- Block Download : 아티팩트 필터 및 심각도 필터 사양을 충족하는 아티팩트의 다운로드를 차단
- Block Unscanned : Artifact Filter 사양을 충족하지만 아직 스캔되지 않았거나 데이터 보존 정책으로 인해 Xray 데이터가 제거된 아티팩트의 다운로드를 차단
Block Release Bundle distribution : 정책 기준 규칙을 충족하는 경우 릴리스 번들의 다운로드를 차단하도록 지정
Fail Build : CI 서버가 빌드 검사를 요청하고 위반이 발생하면 Xray가 빌드 작업이 실패해야 한다는 표시로 응답하도록 지정 (Watch의 대상 유형에 빌드로 정의된 경우에만 사용 가능)

할당할 정책을 선택하고 오른쪽 섹션으로 이동하여 저장합니다.

CURVC DevOps > JFrog Xray 정책 (Policy) 추가 및 관리하기 > image-2024-10-4_11-46-58.png