이 문서는 JFrog Xray에서 Policy를 추가하고 Rule을 적용 및 관리에 대한 가이드를 공유하기 위해 작성되었다.
| 도구명 | JFrog Artifactory |
|---|---|
| 문서 작성 기준 버전 | 7.84.14 |
| 지원 Edition | COMMUNITY PRO PRO X ENTERPRISE X ENTERPRISE + |
목차
Xray의 정책 (Policy)과 규칙 (Rules)
개요
정책은 보안 및 라이선스 준수 동작 사양을 정의하고, 규칙 (Rules)은 라이선스 및 보안의 기준에 대해 정의합니다.
정책에 규칙 (Rules) 집합을 만들어 Watch에 매핑할 때 정책을 적용할 대상이 정해집니다 (정책 자체에 적용 대상을 정의하지 않습니다).
적용하려는 동작과 적용하려는 컨텍스트를 분리하는 장점
- 효율성 : 정책을 한 번 구성하고 여러 Watch에 할당하여 시간을 절약할 수 있습니다.
- 유연성 : 보안 규칙의 우선 순위와 같은 추가 기능으로 여러 동작을 구성합니다.
- 우려 사항 분리 : 조직의 여러 팀에 권한을 위임하여 리소스 및 필터와 관련된 모든 것은 Watch에 있고,
보안 및 라이선스 준수와 관련된 모든 것은 정책에 있습니다.
Policy 생성하기
- 관리자 메뉴 → Xray - Watches & Policies → + New Policy
1. 정책 기본 정보 입력
정책 이름 및 유형 (Security / License / Operational Risk), 설명 입력
2. 추가할 정책이 적용할 규칙 (Rules) 정의하기
- 식별 가능한 Rule 이름 설정
- 적용할 Rule 유형 선택
- 알림을 받을 취약점의 최소 수준 선택
- 알림 또는 action 선택
정책 위반 시의 작업 (Action)
(작성중)
정책을 Watch에 할당하기
- 관리자 메뉴 → Xray - Watches & Policies → Watches 탭 → Rule 선택 및 편집
할당할 정책을 선택하고 오른쪽 섹션으로 이동하여 저장합니다.
참조
- https://jfrog.com/help/r/jfrog-security-documentation/creating-xray-policies-and-rules
- https://jfrog.com/help/r/jfrog-security-documentation/create-an-xray-policy