在现在的开发中，不管是用什么语言，什么技术栈，我们都会用到很多的开源框架和包。从安全角度讲，这也变相的等于说我们信任陌生的开发者，信任其安全技术水平和相信他没有恶意。在关键业务系统中，仅凭信任肯定不靠谱的。Snky就是用来检查你的依赖包安全漏洞的工具，确保你放心引用各种开源依赖包到你的工程中。

如官方介绍Snyk是一个开发者优先的，自动发现你依赖包的安全漏洞的工具。可以用在多种语言，包括JS，.Net，Java，PHP等等。

已经监控了超过100万+的包，12万+的开发者正在使用，保护了10万+的项目。

采用Snyk的部分企业

这里以Node.js下使用为例，非常简单，只需要三步：安装，认证，检测。

首先安装Snyk，可找任意一个Node.js工程，运行全局安装命令

npm install -g snyk

然后运行 snyk检测

snyk test

会报错,要求登录,运行

snyk auth

进行登录,会自动弹出浏览器

可使用Github账号授权登录

可使用Github账号授权登录

授权

授权登录成功

命令行提示登录成功,可以进行依赖包检测了

运行检测:

总共检测280个依赖包,没有发现已知的漏洞。

总的说来，snyk简单易用，可以和多种工具集成，可以作为你的CI/CD 中的一个重要步骤。