Integrazione di Snyk in Atlassian Open DevOps

Man mano che aumentano la scalabilità e la complessità delle applicazioni software, aumenta anche la superficie esposta a vulnerabilità ed exploit della sicurezza.

Le moderne pratiche di sviluppo prevedono un ampio riutilizzo di codice, innanzitutto sotto forma di raccolte standard specifiche del linguaggio come C++ STL, la raccolta standard Golang e Microsoft. NET, e in secondo luogo sotto forma di raccolte open source disponibili, ad esempio, in GitHub. La maggior parte di questo codice è stato creato utilizzando altre raccolte e ciò introduce una rete di dipendenze nel software moderno.

Questa enorme quantità di codice comporta una probabilità elevate che siano presenti vulnerabilità di sicurezza. Non è possibile rimanere informati sulle vulnerabilità controllando manualmente tutte le dipendenze rispetto agli elenchi CVE. L'aggiunta della scansione automatizzata delle vulnerabilità ai processi CI/CD può essere utile per identificare e ridurre i rischi per la sicurezza.

Bitbucket, la soluzione di collaborazione per la gestione del codice di Atlassian, ha investito in una solida integrazione nativa con Snyk, il principale fornitore di soluzioni di sicurezza per sviluppatori. Questo significa che non occorre installare o configurare alcuna app. Puoi vedere i dettagli dei problemi di sicurezza direttamente in Bitbucket. Una volta abilitato, Snyk controlla automaticamente il codice e le sue dipendenze e ti avvisa delle vulnerabilità presenti in modo che tu possa correggerle prima della distribuzione.

Snyk monitora un numero di vulnerabilità quattro volte maggiore rispetto a qualsiasi altro database commerciale e quando vengono scoperte nuove vulnerabilità il suo database si aggiorna fino a 46 giorni prima rispetto agli altri database.

Concedi l'accesso e clicca su Connect Bitbucket with Snyk (Connetti Bitbucket con Snyk).

Dopo aver configurato l'integrazione, chiudi la scheda.

Clicca sulla nuova opzione Snyk che appare nella barra di navigazione a sinistra, quindi clicca sul file go.mod per visualizzare informazioni più dettagliate. In questo esempio il repository Golang utilizza i moduli Go per gestire le dipendenze. Per altri tipi di repository, saranno disponibili file di dipendenza diversi.

Per maggiori informazioni su come correggere ogni vulnerabilità, clicca su Visit Snyk (Visita Snyk) per accedere al sito Web di Snyk.

Questa visualizzazione dell'app Snyk è simile alla schermata di dettaglio rappresentata in Bitbucket. Questa schermata mostra un elenco di vulnerabilità, insieme a informazioni aggiuntive su ciascuna di esse.

Di seguito è riportato un esempio di report di vulnerabilità in Snyk. Una gerarchia delle origini delle vulnerabilità è mostrata nella sezione Detailed paths (Percorsi dettagliati). Nell'esempio riportato di seguito, è possibile vedere che SubmitImage eredita questa vulnerabilità dall'SDK di AWS Golang. Snyk sintetizza lo stato di tutti i ticket a sinistra. In questo caso, nessuno di essi è risolvibile. Come puoi notare, in Fixability (Possibilità di correzione) sono presenti cinque ticket per i quali non è disponibile alcuna correzione (No fix available). Ciò significa che al momento non è disponibile alcuna soluzione di mitigazione per questi ticket. Gli sviluppatori possono monitorare l'integrazione e applicare le correzioni non appena sono disponibili.

Ecco come si presenta quando il passaggio runsnyktest viene eseguito in una pipeline Bitbucket.