开源不一定就安全,让Snyk侦测项目中依赖包的安全漏洞
在现在的开发中,不管是用什么语言,什么技术栈,我们都会用到很多的开源框架和包。从安全角度讲,这也变相的等于说我们信任陌生的开发者,信任其安全技术水平和相信他没有恶意。在关键业务系统中,仅凭信任肯定不靠谱的。Snky就是用来检查你的依赖包安全漏洞的工具,确保你放心引用各种开源依赖包到你的工程中。
如官方介绍Snyk是一个开发者优先的,自动发现你依赖包的安全漏洞的工具。可以用在多种语言,包括JS,.Net,Java,PHP等等。
已经监控了超过100万+的包,12万+的开发者正在使用,保护了10万+的项目。
这里以Node.js下使用为例,非常简单,只需要三步:安装,认证,检测。
首先安装Snyk,可找任意一个Node.js工程,运行全局安装命令
npm install -g snyk
然后运行 snyk检测
snyk test
会报错,要求登录,运行
snyk auth
进行登录,会自动弹出浏览器
可使用Github账号授权登录
授权登录成功
命令行提示登录成功,可以进行依赖包检测了
运行检测:
总共检测280个依赖包,没有发现已知的漏洞。
总的说来,snyk简单易用,可以和多种工具集成,可以作为你的CI/CD 中的一个重要步骤。