이 문서에서는 Xray에서 보안 정책을 정의하고 모니터링하여 보안 취약점 및 준수 사항을 스캔하는 방법을 안내합니다.

Xray 제품은 JFrog ProX 구독 시 사용 가능합니다.


이 가이드는 다음과 같은 순서로 진행됩니다.



Policy 설정

Watch(모니터링)에서 시행할 보안 정책을 정의합니다.

Application → Watches & Policies 항목으로 이동 후 New Policy를 클릭합니다.



1. 생성할 Policy의 이름을 지정합니다. 

Add Description으로 Policy에 대한 설명을 추가할 수 있습니다.

오픈 소스 소프트웨어(OSS)에 대한 Policy Type을 선택합니다.

  • Security : 취약점에 대한 조치를 정의합니다.
  • License : 라이선스 유형에 대한 규정을 설정합니다.
  • Operational Risk : 오픈 소스 소프트웨어의 버전 관리, 종속성 관리, 릴리즈 관리 등과 같은 운영 측면에 대한 규정을 설정합니다.



2. Policy Rule을 설정합니다.

규칙 순서에 따라 처리 순서가 결정됩니다. 규칙이 충족되면 다음 규칙은 적용되지 않습니다.

If (조건)

  • CVEs : 특정 보안 취약점에 대한 정책을 설정합니다. 심각도, CVSS 점수 또는 취약점 식별자(ID)에 따라 정책을 설정할 수 있습니다.
  • Malicious Packages : 악성 패키지를 탐지합니다. (JFrog에서 식별한 악성 패키지 https://research.jfrog.com/)
  • Exposures : Secrets , Applications, service, IaC 구성의 잘못된 설정을 감지합니다.
  • Package Version : 특정 버전의 패키지를 대상으로 정책을 설정하여 보안적으로 취약하거나 부적절한 영향을 줄 수 있는 패키지를 관리합니다.
  • Permission type : 라이센스의 권한 유형을 지정합니다. (허용/금지)
  • Select licenses : 허용/금지할 라이센스를 선택합니다.
  • Custom Condition : 사용자가 직접 조건을 설정하여 정책을 구성합니다.
  • Minimal Severity : 최소 심각도를 설정합니다.

Then (조건에 맞을 경우 조치 작업)

  • Generate : 설정된 심각도에 따라 위반 사항을 생성합니다.
  • Notify : 알림을 설정합니다. (Jira 티켓 생성, 배포자에게 알림, 이메일 알림 등)
  • Block : 빌드, 다운로드를 차단합니다.



3. 정책을 적용할 Watch를 선택합니다. (선택 사항)

선택된 Watch 목록은 설정되면 이후 편집할 수 없습니다.





Watch 생성

policy(정책)를 기반으로 모니터링할 watch를 생성합니다.

Application → Watches & Policies 항목으로 이동 후 New Watch를 클릭합니다.



생성할 Watch에 대한 세부 사항을 설정합니다.

생성한 watch는 기본적으로 활성화되고 선택한 정책이 없을 경우 자동으로 비활성화 됩니다.

  • Watch Recipients : Watch에서 감지한 이벤트를 지정한 이메일 주소로 보냅니다.
  • Jira Tickets : Watch에서 감지한 이벤트를 Jira 티켓으로 생성하여 관리할 수 있습니다.
  • Manage Resources : Watch가 감시할 리소스(저장소, 빌드, 번들)를 추가합니다.
  • Assigned Policies : Watch에 할당할 정책(Policy)을 설정합니다.





스캔 및 확인

'Apply on Existing Content'를 클릭하여 수동으로 스캔을 실행합니다.

해당 옵션은 Watch가 생성되기 전에 이미 저장된 콘텐츠에 대해서도 감시를 활성화하는 옵션입니다. 



Scans List에서 스캔된 목록을 확인합니다.



Overview



발견된 취약점을 확인합니다.



발견된 취약점의 세부 사항을 확인할 수 있습니다.



  • 레이블 없음