Close
Хотите открыть эту страницу на своем языке?
Все языки
Выберите язык
Продукты
Для команд
Поддержка
Купить
Search Toggle menu
Close search

Избранное

Jira Software

Отслеживание проектов и задач

Confluence

Совместная работа над контентом

Jira Service Management

Высокоскоростное решение для ITSM

Trello

Визуальное управление проектами

Показать все продукты

Новые продукты от Point A

Инновации от Atlassian

Подробнее

Atlas

Каталог для командной работы

Compass

Платформа для разработчиков

Marketplace

Подключайте тысячи приложений ко всем своим продуктам Atlassian

Close dropdown

По размеру команды

Стартапы

Отличное решение для стартапов — от создания и до первичного размещения акций

Малый бизнес

Воспользуйтесь инструментами, подходящими для растущего бизнеса

Enterprise

Узнайте, как мы помогаем большим командам достичь успеха

По профилю команды

Программное обеспечение

Планируйте, разрабатывайте и выпускайте качественные продукты

Маркетинг

Вместе создавайте успешную стратегию

HR

Оптимизируйте управление кадрами

Юриспруденция

Работайте надежно и безопасно

Government

Efficient, secure, mission focused

Операции

Ведите работу эффективно

ИТ

Предоставляйте качественное обслуживание и поддержку

Финансы

Упрощайте финансовые операции

Реагирование на инциденты

Реагируйте на инциденты, устраняйте последствия и формируйте ценные выводы

Показать все продукты
Close dropdown

РЕСУРСЫ

Документация

Руководства ко всем нашим продуктам

Программа миграции Atlassian

Инструменты и руководства для миграции

Дорожная карта развития облака

Ожидаемые функциональные обновления

Покупка и лицензирование

Часто задаваемые вопросы о наших политиках

Сервисы поддержки

Сервисы Enterprise

Индивидуальная поддержка для больших команд

Поддержка партнеров

Доверенные сторонние консультанты

Поддержка Atlassian

Центр ресурсов для команд и администраторов

Узнать больше или связаться с нами

О компании

Наша миссия и история

Вакансии

Вакансии, ценности и многое другое

Atlassian University

Обучение и сертификация для всех уровней квалификации

Сообщество Atlassian

Форум для общения, совместной работы и обучения

Close dropdown

Статьи

Принципы DevOps
НАЗАД
Обзор
История DevOps
Преимущества DevOps
Культура DevOps
Рекомендации DevOps
DevOps и Agile
Разработчик DevOps
YBIYRI: сложности и рекомендации
Как практиковать DevOps
How Atlassian does operational readiness
Фреймворки DevOps
НАЗАД
Обзор
Фреймворк CALMS
Топологии команд
структура команды
Показатели DevOps
Инструменты DevOps
НАЗАД
Обзор
Пакет инструментов DevOps: ключевые моменты
Мониторинг DevOps
Конвейер DevOps
Инструменты DevSecOps
Автоматизация тестирования

Обучающие материалы

Автоматизация
НАЗАД
Обзор
Правило для слияния запросов pull
Правило для изменения статуса задач
Правила автоматической синхронизации Statuspage
Правило для подтверждения запросов pull
Тестирование
НАЗАД
Обзор
Автоматизированные тесты в Jira с помощью Xray
Создание тестовых сценариев и управление ими с помощью Xray и Jira
Создание задачи Jira из автоматического теста mabl
Отслеживание прогресса команды в Jira и Zephyr
Безопасность
НАЗАД
Обзор
Как Snyk и Bitbucket Cloud создают условия для внедрения DevSecOps
Достижение целей DevSecOps с помощью Bitbucket Pipelines и Snyk Pipe
Возможности наблюдения
НАЗАД
Обзор
Мониторинг приложений в Jira и Sentry
Учебное руководство по интеграции Jira и Dynatrace
Учебное руководство по задаче Jira Dynatrace
Интеграция Jira и Datadog
Включение и отключение возможностей
НАЗАД
Обзор
LaunchDarkly for Jira
Split и Jira
Непрерывная поставка
НАЗАД
Обзор
JFrog и Jira Software
Учебное руководство по интеграции Harness и Jira
Включение развертываний GitLab в Jira
Учебное руководство по непрерывной интеграции
Учебное руководство по непрерывной поставке
Учебное руководство по непрерывному развертыванию
Советы по написанию скриптов для автоматизации задач в Bitbucket Pipelines.
Учебное руководство по интеграционному тестированию

Интерактивные руководства

Демонстрация Atlassian Open DevOps
НАЗАД
Обзор
Atlassian ImageLabeller
Интеграция Jira с CI/CD
Настройка предварительно обученной модели AWS SageMaker
Развертывание ImageLabeller
НАЗАД
Обзор
Развертывание ImageLabeller с помощью Bitbucket
Развертывание ImageLabeller с помощью GitHub
Развертывание ImageLabeller с помощью GitLab
Мониторинг ImageLabeller
НАЗАД
Обзор
Мониторинг с помощью Opsgenie
Развертывание оповещений AWS CloudWatch с помощью Bitbucket
Развертывание оповещений AWS CloudWatch с помощью GitHub
Развертывание оповещений AWS CloudWatch с помощью GitLab
Интеграция со сторонними решениями
НАЗАД
Обзор
Интеграция Snyk с Atlassian Open DevOps
Использование флажков возможностей LaunchDarkly в конвейерах Bitbucket
Использование флажков возможностей Split в конвейерах Bitbucket
Разработка с помощью API Atlassian
НАЗАД
Обзор
Интеграция Concourse-CI и Open DevOps

Интеграция Snyk с Atlassian Open DevOps

Фото Уоррена Марусяка
Уоррен Марусяк

Старший технический эксперт

Чтобы продемонстрировать, как разрабатывать и развертывать приложения, а также управлять ими с помощью Jira Software и различных подключенных инструментов, наша команда создала ImageLabeller — простое демонстрационное приложение на платформе AWS, которое с помощью машинного обучения наносит метки на изображения.

На этой странице рассказывается, как интегрировать Snyk с Bitbucket. Прежде чем начать, рекомендуем прочитать страницу Знакомство с ImageLabeller в качестве контекста.

По мере роста масштаба и сложности программного приложения увеличивается и вероятность появления уязвимостей в защите, которые можно атаковать с помощью вредоносного кода.

Современные методы разработки включают повторное использование большого количества кода. Во-первых — в виде стандартных библиотек для конкретных языков, таких как C++ STL, стандартная библиотека Golang и Microsoft .NET. Во-вторых — в виде библиотек с открытым исходным кодом, которые можно найти, например, на GitHub. Большая часть этого кода создана с использованием других библиотек, что привносит в современное программное обеспечение целую сеть зависимостей.

Такое количество кода приводит к высокой вероятности появления уязвимостей в защите. Невозможно отслеживать уязвимости, вручную сверяя все зависимости со списками CVE. Добавление автоматического сканирования уязвимостей в процессы CI/CD может помочь выявить и снизить риски.

Bitbucket, решение Atlassian для совместной работы над кодом, предусматривает тесно встроенную интеграцию со Snyk, ведущим поставщиком решений безопасности для разработчиков. Это означает, что вам не придется устанавливать или настраивать приложения. Подробную информацию о проблемах безопасности можно найти прямо в Bitbucket. Сразу же после включения Snyk автоматически проверит ваш код и его зависимости и выдаст предупреждения об имеющихся уязвимостях, которые можно будет исправить перед развертыванием.

Snyk отслеживает в четыре раза больше уязвимостей, чем любая другая коммерческая база данных, и при обнаружении новых угроз база данных этого решения может обновляться на 46 дней раньше, чем другие.

Подключение Bitbucket и Snyk

Есть несколько способов работы со Snyk в Bitbucket. Во-первых, можно включить встроенную интеграцию Snyk с Bitbucket во вкладке Security (Безопасность) на экране репозитория. Второй способ — добавить шаг для Snyk в файл bitbucket-pipelines.yml. Ничто не мешает применять и оба способа одновременно. Интеграция Synk в Bitbucket позволяет быстро изучить данные об уязвимостях любому, кто просматривает репозиторий в Bitbucket. Затем о каждой обнаруженной уязвимости можно получить дополнительную информацию на веб-сайте Snyk. Шаг Snyk в файле bitbucket-pipelines.yml позволяет автоматически сканировать каждый коммит в конвейере.

Добавление интеграции Snyk в Bitbucket

Чтобы добавить Snyk в репозиторий Bitbucket, перейдите на вкладку Security (Безопасность), найдите интеграцию Snyk и нажмите Try now (Попробовать).

Изображение: добавление интеграции Snyk в Bitbucket

Предоставьте доступ и нажмите Connect Bitbucket with Snyk (Подключить Bitbucket к Snyk).

Подключение Bitbucket к Snyk

После настройки интеграции закройте вкладку.

Руководство по успешной интеграции

Нажмите новую опцию Snyk на левой панели навигации. Затем нажмите файл go.mod, чтобы увидеть более подробную информацию. В этом примере в репозитории Golang для управления зависимостями используются модули Go. Для других типов репозиториев файлы зависимостей будут отличаться.

Экран Snyk

Чтобы узнать больше о том, как исправить каждую уязвимость, нажмите visit Snyk (Посетить Snyk), чтобы перейти к веб-сайту Snyk.

Посетить Snyk

Это представление в приложении Snyk похоже на экран подробных сведений в Bitbucket. На нем отображается список уязвимостей, а также дополнительная информация по каждой из них.

снимок экрана: веб-сайт Snyk

Ниже приведен пример отчета об уязвимостях в Snyk. Иерархия источников уязвимости показана в разделе Detailed paths (Подробные пути). В приведенном ниже примере видно, что функция SubmitImage унаследовала эту уязвимость из AWS Golang SDK. Snyk предоставляет сводку по статусу всех проблем слева. В нашем случае нельзя исправить ни одну из них. Обратите внимание, что в подпункте No fix available (Нет исправления) списка Fixability (Возможность исправления) указано пять проблем. Это означает, что на текущий момент нет мер по их устранению. Разработчики могут отслеживать состояние в интеграции и вносить исправления, как только они появятся.

Снимок экрана: информация об уязвимостях

Добавление шага Snyk в bitbucket-pipelines.yml

Помимо пользовательского интерфейса Bitbucket доступ к функциям Snyk можно получить через конвейеры Bitbucket, добавив соответствующие шаги в файлы bitbucket-pipelines.yml. Это означает, что при каждом коммите будет автоматически выполняться сканирование и выдаваться предупреждение о любых уязвимостях в защите.

Ниже приведены два фрагмента кода bitbucket-pipelines.yml для запуска тестов Snyk через конвейер.

Добавление Snyk в конвейеры Bitbucket для Golang

В этом примере показано, как запустить команду snyk test для проекта Golang, в котором для управления зависимостями используются модули Go.

definitions:
  steps:
    -step: &runsnyktest
        name: run snyk test
        image: snyk/snyk:golang
        script:
          - snyk auth $SNYK_TOKEN
          - cd submitImage
          - go mod graph
          - snyk test
pipelines:
  default:
    - step: *runsnyktest

Добавление Snyk в конвейеры Bitbucket для Python

В этом примере показано, как запустить команду snyk test для проекта Python, в котором для управления зависимостями используется Pip.

definitions:
  steps:
    -step: &runsnyktest
        name: run snyk test
        image: snyk/snyk:python
        script:
          - snyk auth $SNYK_TOKEN
          - cd src
          - snyk test --skip-unresolved
          - cd ../tst
          - snyk test --skip-unresolved
pipelines:
  default:
    - step: *runsnyktest

Вот как выглядит выполнение шага runsnyktest в конвейере Bitbucket.

Шаг runsnyktest в конвейере Bitbucket

Заключение

Интеграция безопасности в конвейер CI/CD — это один из основных принципов DevSecOps. Согласно подходу DevSecOps, обеспечение безопасности должно затрагивать каждый этап типичного конвейера DevOps: планирование, программирование, сборку, тестирование, выпуск релиза и развертывание. Внедрение безопасности в рабочий процесс делает ее активной, неотъемлемой частью процесса разработки, а не второстепенной задачей. Это позволяет сделать приложения более безопасными, сократить число инцидентов и повысить удовлетворенность клиентов.

Warren Marusiak
Warren Marusiak

Warren is a Canadian developer from Vancouver, BC with over 10 years of experience. He came to Atlassian from AWS in January of 2021.

Поделитесь этой статьей
Следующая тема
Использование флажков возможностей LaunchDarkly в конвейерах Bitbucket

Рекомендуемые статьи

Добавьте эти ресурсы в закладки, чтобы изучить типы команд DevOps или получать регулярные обновления по DevOps в Atlassian.

Рисунок: DevOps

Сообщество DevOps

Подробнее
Рисунок: DevOps

Образовательные программы DevOps

Подробнее
Рисунок схемы

Начните работу бесплатно

Подробнее

Подпишитесь на информационную рассылку по DevOps

Thank you for signing up