이 문서는 JFrog Xray 스캔 결과 위반 사항을 Jira 이슈로 관리하기 위한 가이드를 공유하기 위해 작성되었다.
| 도구명 | JFrog Artifactory |
|---|---|
| 문서 작성 기준 버전 | 7.84.14 |
| 지원 Edition | COMMUNITY PRO PRO X ENTERPRISE X ENTERPRISE + |
| Jira 정보 | Jira Data Center 9.12.12 | Jira Cloud |
목차
개요
Xray가 Atlassian의 Jira와 통합되면 Xray가 식별한 보안 위협에 따라 Jira 티켓을 자동 또는 수동으로 생성할 수 있습니다.
보안 위협 항목에 대해 Jira로 해결 또는 검토 현황을 확인할 수 있고 우선순위를 지정하여 신속하게 조치를 취할 수 있는 프로세스 구성이 가능합니다.
사전 필수 사항
Jira 관리자 권한이 있어야 하고, 다음 정보가 필요합니다.
- 지원되는 인증 유형 : OAuth1, OAuth2 또는 기본 인증
- Jira 프로젝트 이름
- 이슈 유형 (버그, 보안, 에스컬레이션 등)
- (선택) Jira 라벨
- (선택) 사용자 정의 필드 매핑
Xray와 Jira 통합 설정하기
Jira 계정에 연결하기
Jira 버전에 따른 지원 인증 방법
| Jira 구분 | Xray (Self-Hosting) |
|---|---|
| Jira Data Center 버전 8.22.0 이전 | 기본 인증 또는 OAuth1 |
| Jira Data Center 버전 8.22.0 이상 | 기본 인증 또는 OAuth2 |
| Jira Cloud | 기본 인증 또는 OAuth2 |
기본 인증은 REST API를 실험하거나, 개인 스크립트를 작성하거나, 봇에서 사용할 때 인증을 수행하는 간단한 매커니즘을 제공합니다.
그러나, 기본 인증은 각 요청에서 사용자 이름과 비밀번호를 반복적으로 전송하여 웹 브라우저에 캐시될 수 있으므로 안전한 인증 방법은 아닙니다.
대부분의 경우 기본 인증 대신 OAuth를 사용하는 것이 좋습니다.
이 문서에서는 Jira Data Center에서 연결하는 방법을 가이드합니다.
- 관리자 메뉴 → Xray - Settings → General - Integrations → + Add Jira Integration
- 설치 유형에서 Server를 선택하고, 인증 유형을 Basic으로 선택, 통합 이름 입력
- 계정 정보 입력
- 연결에 성공하면 Integrations에 새 탭이 추가됨
Jira 보드에 위반 사항을 매핑하기 위한 프로필 생성
추가한 Jira Integration에 프로필을 추가해야 합니다.
팀마다 다른 Jira 프로젝트가 있으므로 프로필을 사용하면 Jira 프로젝트 별로 발행된 Jira 티켓에 대한 특정 기준을 정의할 수 있습니다.
ex) Jira 프로젝트에 정의된 레이블 및 사용자 지정 매핑
- + New Profile 버튼 클릭
- 프로필 구성 : 프로필 이름, Jira Project 키, Jira 이슈 타입 설정
Create test ticket 버튼 클릭하여 이슈 생성 테스트 가능
Watch에 프로필 추가와 Policy (정책) 규칙 구성
- 관리자 메뉴 → Xray - Watches & Policies → Watches
프로필을 추가하고자 하는 Watch 선택 및 편집
Create tickets for ignored violations : 무시된 위반에 대한 티켓을 생성하려면 이 기능을 켜세요. 기본적으로 JFrog Xray는 무시된 위반에 대한 티켓을 생성하지 않습니다.
Create ticket duplication for every : 모든 아티팩트 버전에 대한 티켓 복제가 필요한 경우 체크박스를 선택하세요. 가장 일반적으로 체크하지 않은 상태로 둡니다.
Create tickets by impact path : 이 섹션에서는 동일한 위반에 대해 여러 티켓을 만들거나 위반을 다른 Jira 프로필에 매핑할 수 있습니다.
티켓은 위반 영향 경로를 기반으로 생성됩니다. 매핑된 영향 패턴과 일치하지 않는 모든 티켓은 기본 프로필에 생성됩니다.
하단의 Assigned Policies 에서 정책 구성
Manage Policies 버튼을 클릭하여 Watch Policy를 추가할 수 있습니다.
정책 위반이 발견되었을 때 Jira 티켓 생성으로 연결하기 위해서는 정책 규칙에서 Create Jira Ticket 을 활성화해야 합니다.
- Xray - Watches & Policies → Policies
- Policy 편집 화면에서 Rule 편집 또는 추가 화면에서 다음 설정 체크
Jira 티켓 수동으로 생성 및 업데이트하기
Jira 티켓을 자동으로 생성하는 것 외에도 Xray를 사용하면 다음 위반 사항에 대해 Jira 티켓을 수동으로 생성할 수 있습니다.
- 운영 상의 위험
- 라이선스 위반
- 보안 위협
Jira 티켓을 수동으로 생성하기
- Xray - Scans List → 리스트 중 선택 → 위반 사항이 있는 아티팩트 선택 → Policy Violations
- 위반 사항 선택 후, 우측 상단의 더보기 (...) → Create ticket
다음은 수동으로 생성한 Jira 티켓 예시입니다.
Jira 티켓 표시
위반 사항에 대한 Jira 티켓이 수동으로 생성될 때마다 아이콘이 표시됩니다.
Jira 티켓을 수동으로 업데이트하기
위반 사항과 연결되어 있는 Jira 티켓에 Components를 변경하거나 댓글을 추가할 수 있습니다.
- Xray - Scans List → 리스트 중 선택 → 위반 사항이 있는 아티팩트 선택 → Policy Violations
- 위반 사항 선택 후, 우측 상단의 더보기 (...) → Update ticket
참조
- https://jfrog.com/help/r/jfrog-security-documentation/setup-xray-jira-integration
- https://jfrog.com/help/r/jfrog-security-documentation/manually-update-a-jira-ticket