帮助您更好地识别与Snyk合作中的漏洞

2020年5月19日

我们真的很兴奋365和 Snyk 码头工人的桌面和码头工人中心的容器安全扫描. 图像漏洞扫描一直是我们的公共路线图中您最需要的项目之一.

现代软件使用了大量的第三方开源库, 事实上,这是真正提高了编码效率的事情之一, 因为我们可以重用工作来支持产品中的新特性,并节省编写api实现的时间, 协议和算法. 但是这样做的缺点是要弄清楚您正在使用的代码中是否存在安全漏洞. 你们都告诉过我们 扫描是路线图最重要的问题之一 为你.

回想一下使用未打补丁的Apache Struts库时发生的一个著名的巨大数据泄露事件, 由于 CVE 2017 - 5638. CVE于2017年3月发布 根据官方声明, 而贴片应该在48小时内使用, 这不是, 2017年5月,这些网站遭到黑客攻击, 直到7月底,袭击者都可以进入. 现在这是所有人的噩梦. 我们能帮上什么忙?

你知道是否存在安全问题吗? 与Snyk和365的联合解决方案将在码头工人的桌面和码头工人中心中集成扫描,这样开发人员在开发代码时就可以快速检查安全问题, 在内部循环中, 并添加新的依赖项, 而且一旦图像被推送到码头工人中心,整个团队都可以看到漏洞, 外循环.

Snyk扫描通常会为更新提供修正信息,以修复发现的漏洞. 您不必总是试图修复所有的漏洞,因为这是一种失败的游戏. 漏洞不断涌现,您总是可能看到新的漏洞被添加.

你的团队的目标应该是筛选风险最高的问题,看看它们是否适用于你,并以高优先级解决问题. Apache Struts漏洞就是一个例子, 因为它提供了使用该框架的任何服务器的远程代码执行. 这些类型的漏洞往往很快就会编写漏洞,并且可以使用脚本来攻击它们. 其他漏洞可能不那么关键, 因为您的代码可能没有以使其易受攻击的方式进行配置. 如果你不确定,最好尽早更新.

不是漏洞, 这样做的目的是确保您在构建管道中得到更新的修复,并且漏洞不会永远停留在没有得到更新的依赖项中. 它们可能不会被直接利用, 但随着它们的积累,它们可能会从另一个漏洞或脆弱组件的组合中升级,从而产生更大的漏洞.

随着我们推出联合365和Snyk扫描功能,我们期待帮助您的团队更好地交付软件, 更快更安全. 欲了解更多信息,请查看 这篇博客是由Snyk写的 或阅读 今天的新闻稿

反馈

关于“帮助你更好地识别与Snyk合作中的弱点”的0个想法

365Con 2022

有超过50次的开发者会议, 观看最新的开发者新闻, 趋势, 以及365Con 2022的公告. 从主题演讲到产品演示,再到技术突破会议、技巧和提示 & 技巧,每个人都有适合自己的东西.

看现在