이 문서는 JFrog Xray에서 Policy를 추가하고 Rule을 적용 및 관리에 대한 가이드를 공유하기 위해 작성되었다.
| 도구명 | JFrog Artifactory |
|---|---|
| 문서 작성 기준 버전 | 7.84.14 |
| 지원 Edition | COMMUNITY PRO PRO X ENTERPRISE X ENTERPRISE + |
목차
Xray의 정책 (Policy)과 규칙 (Rules)
개요
정책은 보안 및 라이선스 준수 동작 사양을 정의하고, 규칙 (Rules)은 라이선스 및 보안의 기준에 대해 정의합니다.
정책에 규칙 (Rules) 집합을 만들어 Watch에 매핑할 때 정책을 적용할 대상이 정해집니다 (정책 자체에 적용 대상을 정의하지 않습니다).
적용하려는 동작과 적용하려는 컨텍스트를 분리하는 장점
- 효율성 : 정책을 한 번 구성하고 여러 Watch에 할당하여 시간을 절약할 수 있습니다.
- 유연성 : 보안 규칙의 우선 순위와 같은 추가 기능으로 여러 동작을 구성합니다.
- 우려 사항 분리 : 조직의 여러 팀에 권한을 위임하여 리소스 및 필터와 관련된 모든 것은 Watch에 있고,
보안 및 라이선스 준수와 관련된 모든 것은 정책에 있습니다.
Policy 생성하기
- 관리자 메뉴 → Xray - Watches & Policies → + New Policy
1. 정책 기본 정보 입력
정책 이름 및 유형 (Security / License / Operational Risk), 설명 입력
2. 추가할 정책이 적용할 규칙 (Rules) 정의하기
- 식별 가능한 Rule 이름 설정
- 적용할 Rule 유형 선택
- 알림을 받을 취약점의 최소 수준 선택
- 알림 또는 action 선택
Policy의 규칙 (Rules) 유형
- 보안 규칙
- CVE : CVE 기준 규칙
- Minimal Severity
- CVSS Score
- CVE IDs
- Malicious Packages : 감지된 악성 패키지에 대한 위반 사항 생성
- Exposures : 감지된 비밀, 애플리케이션, 서비스 및 IaC 구성 오류에 대해 검사
- Package Version : 특정 패키지 (사용자 지정할 수 있음) 에 대한 위반 생성
- CVE : CVE 기준 규칙
- 라이선스 규칙
- Allowed Licenses : 구성 요소에 첨부될 수 있는 OSS 라이선스의 허용 목록을 지정
- Banned Licenses : 구성 요소에 첨부될 수 없는 OSS 라이선스의 차단 목록을 지정
- Multiple license permissive approach : 여러 라이선스가 감지된 경우 적어도 하나의 라이선스가 유효한 경우 위반을 생성하지 않음
정책 위반 시의 작업 (Action)
정책 위반에 대한 자동 실행 작업을 정의할 수 있습니다.
각 정책 규칙 내에서 하나 이상의 작업을 정의할 수 있습니다.
- Generate Violation (Minor, Major, Critical) : 기준을 충족할 경우 생성되는 정책 위반의 심각도
- Notify Email : 정책 위반 이벤트가 트리거될 때 Xray가 위반에 대한 이메일 전송 (수신자 이메일 지정 가능하며, Xray에 구성된 메일 서버 필요)
- Notify Watch's Recipients : Watch의 수신자 모두에게 위반 사항에 대한 이메일 전송
- Notify Deployer : 위반 사항에 대해 구성 요소를 배포한 사용자에게 이메일 전송
- Create Jira Ticket : Jira 티켓 생성이 가능
- Trigger Webhook : 위반이 발생할 때 호출되어야 하는 Xray에 구성된 웹훅을 지정
- Block Download : 해당 위반이 발생한 아티팩트의 다운로드 차단 (두 개의 옵션 중 선택)
- Block Download : 아티팩트 필터 및 심각도 필터 사양을 충족하는 아티팩트의 다운로드를 차단
- Block Unscanned : Artifact Filter 사양을 충족하지만 아직 스캔되지 않았거나 데이터 보존 정책으로 인해 Xray 데이터가 제거된 아티팩트의 다운로드를 차단
- Block Release Bundle distribution : 정책 기준 규칙을 충족하는 경우 릴리스 번들의 다운로드를 차단하도록 지정
- Fail Build : CI 서버가 빌드 검사를 요청하고 위반이 발생하면 Xray가 빌드 작업이 실패해야 한다는 표시로 응답하도록 지정 (Watch의 대상 유형에 빌드로 정의된 경우에만 사용 가능)
정책을 Watch에 할당하기
- 관리자 메뉴 → Xray - Watches & Policies → Watches 탭 → Rule 선택 및 편집
할당할 정책을 선택하고 오른쪽 섹션으로 이동하여 저장합니다.
참조
- https://jfrog.com/help/r/jfrog-security-documentation/creating-xray-policies-and-rules
- https://jfrog.com/help/r/jfrog-security-documentation/create-an-xray-policy
- https://jfrog.com/help/r/jfrog-security-documentation/trigger-violations-using-xray-policy-rules
- https://jfrog.com/help/r/jfrog-security-documentation/policy-violation-automatic-actions