SNYKは、Webアプリケーションの脆弱性を自動的に検索、優先順位付け、修正するオープンソースアプリケーションセキュリティソフトウェアです。

Snyk 無料のセキュリティソフトウェア

オープンソースの依存関係の脆弱性を見つけて修正します

Rubyms、NPM、Pypi、Mavenなどから引き出された依存関係で脆弱性を継続的に見つけて修正するためのオープンソースWeb脆弱性スキャンツール

概要

SNYKは、多くの安全なデフォルトを持つRubyおよびその他の言語をサポートするCLIビルドタイムセキュリティ/脆弱性/リスクスキャンツールです。開発プロセス全体で、オープンソースの依存関係の脆弱性を継続的かつ自動的に見つけ、修正し、監視します。大規模なセキュリティでは、アプリケーション開発者がウェブサイトの脆弱性をテストするためのセキュリティプロセスの最初のステップである必要があります。 SNYKオープンソースアプリケーションセキュリティは、開発者が迅速に開発し、安全を維持するのに役立ちます。単一のSNYKオープンソーススキャンツールで、最新のクラウドネイティブアプリケーションのすべてのコンポーネントを保護します。 SNYKのクラウドアプリセキュリティプラットフォームは、規模と速度で安全でリスクのない開発のために、オープンソース開発者が簡単に使用できるように構築されています。 SNYK Webアプリケーションセキュリティソリューションは、開発者がオープンソースの依存関係を使用し、安全な状態を維持するのに役立ちます。 Snykは、オープンソース用の無料のクラウドアプリセキュリティソフトウェアです。 SNYKは、Ruby、Node.js、Java、Python、Scalaアプリケーションの脆弱性を自動的に見つけ、修正、監視、防止します。 SNYKは、800,000を超えるオープンソースソフトウェアの脆弱性を監視および追跡し、25,000を超えるアプリケーションをオンラインで保護するのに役立ちます。 SNYK Webアプリケーションの脆弱性スキャンアプリケーションユーザーの83%は、オンラインアプリケーションのリスクと脆弱性を発見し、新しい脆弱性が定期的に開示され、アプリケーションが危険にさらされています。

システム要求


オープンソースSNYKユーティリティCLIツールをインストールするには、次の依存関係と前提条件をインストールする必要があります。 -Snykサポート言語などのプロジェクトなど、Ruby

  • オープンソースパッケージを使用したコードプロジェクト
  • サポートされているソースコード管理システムに展開されたプロジェクト -SnykサイトにアクセスしてSNYKアカウントを作成します

特徴


SNYK CLIの機能の優れたリストと、オープンソースの依存関係で既知の脆弱性を見つけて修正するためのビルドタイムツールは次のとおりです。 -CIプロセスのプロジェクトでSNYKテストを実行することにより、脆弱性を見つけます。 -SnykウィザードとSnyk Protectを使用して脆弱性を修正します。 -Snykウィザードは、プロジェクトで既知の脆弱性を見つけて修正することを歩きます。 -Alert Snyk Monitorは、Snykの依存関係と脆弱性の状態を記録します。 -CIプロセスでSNYKテストを実行することにより、脆弱なnode.jsまたはRuby依存関係が追加された場合、新しい脆弱な依存関係を防止します。

インストール

** ruby​​のsnykをインストール**

SNYKは、Bundlerが管理するCLIおよびGIT統合のRubyプロジェクトのテスト、監視、修正をサポートしています。次に、以下のステップバイステップガイドをフォローして、SNYKをセットアップしてください。 SNYKユーティリティCLIツールを使用すると、コマンドラインを使用してNPM実行にインストールすることができます。

    npm install -g snyk

インストールしたら、SNYKアカウントで認証する必要があります。

    snyk auth

地元のプロジェクトをテストしてください:

    snyk test

次のような新しい脆弱性について警告を受けます

    snyk monitor

以下のコマンドを実行して、詳細と例を使用してすべてのコマンドの簡単な概要を取得します。

    snyk iac --help

SNYKは、各パッケージマネージャーのランタイム環境を運ぶDocker画像のセットとしても提供されます。たとえば、NPM画像は、現在実行中のコンテナでNPMインストールを実行するために必要なすべてのセットアップを運びます。現在、NPM、Ruby、Maven、Gradle、SBTの画像があります。画像は、指定されたプロジェクトでデフォルトでSNYKテストを実行できます。指定されたプロジェクトは、Dockerコンテナを実行するときにモニター環境変数が設定されている場合は、読み取り/書き込みボリュームとしてコンテナに取り付けられ、SNYKモニターをモニターします。 Docker内でSnykを実行する方法に関する次のRubygems画像の例をご覧ください。 ホストプロジェクトフォルダーは、コンテナに /プロジェクトにマウントされ、依存関係ファイルの読み取りに使用され、CIビルドの結果を書き込みます。 Rubygemsの画像でSNYKテストとSNYKモニターを実行している例を次に示します。

    docker run -it
        -e "SNYK_TOKEN="
        -e "USER_ID=1234"
        -e "MONITOR=true"
        -v ":/project"
      snyk/snyk-cli:rubygems test --org=my-org-name

次のRuby on Railsマニフェストファイルがサポートされています。

    Gemfile
    Gemfile.lock

Dockerでコンテナを実行するときに、次の環境変数を使用できます。

    SNYK_TOKEN
    USER_ID
    MONITOR
    PROJECT_FOLDER
    ENV_FLAGS
    TARGET_FILE

プロジェクトを追加するには、インポートされたプロジェクトの脆弱性の結果を表示してから、修正/マージリクエストを介して脆弱性を修正します。Snykオープンソースを始めましょうを確認してください おめでとう! SNYK CLIとビルドタイムツールを正常にインストールしました。楽しみ! 探検

この記事では、SNYKオープンソースセキュリティソフトウェアについて説明しました。他のオープンソースセキュリティソフトウェアについては、次のページをご覧ください。

 日本