使用Snyk检测安全漏洞 | Baeldung

Kahen大约 5 分钟

1. 概述

在软件开发的快速变化领域中，确保强大的安全性是一个重要但通常棘手的任务。由于现代应用程序严重依赖开源库和依赖项，这些组件中潜藏的漏洞可能构成严重威胁。

这就是Snyk发挥作用的地方，它为开发人员提供了自动检测潜在易受攻击的代码或依赖项的工具。在本文中，我们将探讨其功能以及如何在Java项目的背景下使用它们。

**Snyk是一个云原生安全平台，专注于识别和减轻开源软件组件和容器中的漏洞。**在我们深入使用特定功能之前，让我们看看本文将重点介绍的主要用途。

Snyk开源通过分析我们的应用程序所依赖的库和包来扫描我们项目的依赖项。它将这些依赖项与已知漏洞的全面数据库进行比对。 Snyk开源不仅指出漏洞，还提供可操作的补救指导。它建议可能的解决方案来解决漏洞，例如升级到安全版本或应用补丁。

Snyk代码采用静态代码分析技术来审查源代码，识别安全漏洞和其他问题。它在不执行代码的情况下通过分析代码库中的结构、逻辑和模式来发现潜在问题。这包括来自已知安全数据库的漏洞，以及代码质量问题，如代码异味、潜在逻辑错误和配置错误。

我们可以通过使用Snyk CLI按需或将其连接到版本控制系统（例如Git）来将Snyk集成到项目中。这种集成允许Snyk访问我们的代码库，并在代码更改时执行自动扫描。或者，我们可以使用构建系统（例如Gradle）的插件作为我们构建过程的一部分来执行扫描。

在我们深入使项目更安全之前，我们需要执行几个步骤来设置Snyk CLI及其与Snyk服务的连接。

**Snyk是一个云原生解决方案。我们将需要一个账户来使用它。**在撰写本文时，一个基本的Snyk账户，足以用于测试和小项目，是免费的。

Snyk提供了一个命令行界面（CLI），允许我们从终端与Snyk服务交互。一旦我们安装了CLI应用程序，它只会连接到Snyk服务器，所有繁重的工作都将在云端发生。

我们可以使用Node Package Manager（npm）全局安装CLI：

$ npm install -g snyk

我们也可以使用Snyk手册中描述的其他安装方法。

最后，我们需要进行认证，以便CLI知道应该连接到哪个账户：

$ snyk auth

Snyk CLI是由Snyk提供的工具，允许我们轻松连接到Snyk服务，并从命令行执行扫描。让我们来看看Snyk的两个基本功能：依赖项扫描和代码扫描。

要使用Snyk CLI在我们的项目上运行依赖项扫描，我们可以简单地输入：

$ snyk test

此命令将分析您的项目的依赖项并识别任何问题。 Snyk将提供一个详细的报告，显示漏洞、它们的严重级别和受影响的包：

[...]
包管理器：gradle
目标文件：build.gradle
项目名称：snyktest
开源：否
项目路径：[...]
许可证：已启用

✔ 测试了7个依赖项，未发现已知问题。

我们还可以在Snyk页面的设置中启用静态代码分析，并运行我们自己代码中的漏洞扫描：

$ snyk code test
[...]

✔ 测试完成

组织：[...]
测试类型：静态代码分析
项目路径：[...]

摘要：

✔ 太棒了！未发现问题。

而不是使用Snyk CLI，我们可以使用Gradle插件并在构建过程中自动运行Snyk测试。 首先，我们需要将插件添加到_build.gradle_文件中：

plugins {
    id "io.snyk.gradle.plugin.snykplugin" version "0.5"
}

然后，我们可以提供一些可选配置：

snyk {
    arguments = '--all-sub-projects'
    severity = 'low'
    api = 'xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx'
}

然而，在大多数情况下，默认设置应该足够好。此外，如果我们之前使用CLI进行了认证，我们也不需要提供API密钥。最后，要运行测试，我们可以简单地输入：

$ ./gradlew snyk-test

我们还可以配置Gradle，使每次构建时都运行Snyk测试：

tasks.named('build') {
    dependsOn tasks.named('snyk-test')
}

请注意，Snyk的免费版本每月可以运行的测试次数有限，因此每次构建都运行测试可能会浪费。

Snyk代码是开发人员和组织提高应用程序安全性的有价值工具，它通过在开发生命周期的早期识别漏洞和代码质量问题。在本文中，我们学习了如何使用Snyk开源和代码功能扫描我们的项目以寻找可能的安全问题。此外，我们还探讨了如何将Snyk集成到Gradle构建系统中。