Close
是否使用您的语言查看此页面?
所有语言
选择您的语言
产品
专为团队而设计
支持
立即购买
Search Toggle menu
Close search

特色

Jira Software

项目和问题追踪

Confluence

内容协作

Jira Service Management

高速 ITSM

Trello

可视化项目管理

查看全部产品

来自 Point A 的新产品

来自 Atlassian 的创新

浏览所有

Atlas

团队工作目录

Compass

开发人员体验平台

Marketplace

为您的所有 Atlassian 产品连接数千个应用

Close dropdown

按团队规模

初创公司

非常适合初创公司,从孵化到 IPO

小型企业

为不断发展的企业提供适当的工具

Enterprise

了解我们如何让大型团队实现成功

按团队职能

软件

规划、构建和发布优质的产品

营销

整合制胜的策略

人力资源

精简人员管理

法律

安全可靠地运行

Government

Efficient, secure, mission focused

运营

高效地运营业务

IT

提供出色的服务和支持

金融

简化所有财务流程

事件响应

针对事件做出响应、解决问题并吸取经验教训

查看全部产品
Close dropdown

资源

文档

适用于我们所有产品的指南

Atlassian 迁移计划

迁移工具及指导

云路线图

即将发布的功能版本

购买和许可

有关我们策略的常见问题

支持服务

企业服务

为大型团队提供个性化支持

合作伙伴支持

值得信赖的第三方顾问

Atlassian 支持

团队和管理员的资源中心

学习与联系

关于我们

使命和历程

诚聘英才

工作机会、价值观等

Atlassian University

适用于各种技能层次的培训和认证

Atlassian 社区

交流、共享和学习的论坛

Close dropdown

文章

DevOps 原则
后退
概述
DevOps 的历史
DevOps 的优势
DevOps 文化
DevOps 最佳实践
DevOps 与敏捷开发
DevOps 工程师
YBIYRI:挑战和最佳实践
如何实践 DevOps
How Atlassian does operational readiness
DevOps 框架
后退
概述
CALMS 框架
团队拓扑
团队结构
DevOps 指标
DevOps 工具
后退
概述
DevOps 工具链:关键注意事项
DevOps 监控
DevOps 管道
DevSecOps 工具
测试自动化

教程

自动化
后退
概述
有关拉取请求合并的规则
有关转换事务的规则
自动同步 StatusPage 的规则
有关拉取请求批准的规则
测试
后退
概述
使用 Xray 在 Jira 中进行自动测试
使用 Xray 和 Jira 创建和管理测试用例
从自动化 mabl 测试创建 Jira 事务
在 Jira 和 Zephyr 中跟踪团队的进度
安全性
后退
概述
Snyk 和 Bitbucket Cloud 如何支持 DevSecOps
使用 Bitbucket Pipelines 和 Snyk Pipe 实现 DevSecOps
可观察性
后退
概述
Jira 和 Sentry 应用监控
Jira Dynatrace 集成教程
Jira Dynatrace 事务教程
集成 Jira 和 Datadog
功能标记
后退
概述
LaunchDarkly for Jira
Split 和 Jira
持续交付
后退
概述
JFrog 和 Jira Software
Harness Jira 集成教程
在 Jira 中启用 GitLab 部署
持续集成教程
持续交付教程
持续部署教程
使用 Bitbucket Pipelines 编写任务脚本的提示
集成测试教程

互动指南

演示 Atlassian Open DevOps
后退
概述
Atlassian ImageLabeller
Jira 与 CI/CD 集成
设置 AWS SageMaker 预训练模型
部署 ImageLabeller
后退
概述
使用 Bitbucket 部署 ImageLabeller
使用 GitHub 部署 ImageLabeller
使用 GitLab 部署 ImageLabeller
监控 ImageLabeller
后退
概述
使用 Opsgenie 进行监控
使用 Bitbucket 部署 AWS CloudWatch 警报
使用 GitHub 部署 AWS CloudWatch 警报
使用 GitLab 部署 AWS CloudWatch 警报
第三方集成
后退
概述
将 Snyk 集成到 Atlassian Open DevOps
搭配使用 Launch Darkly 功能标记与 Bitbucket pipelines
搭配使用 Split 功能标记与 Bitbucket pipelines
使用 Atlassian API 进行构建
后退
概述
集成 Concourse-CI 和 Open DevOps

将 Snyk 集成到 Atlassian Open DevOps

Warren Marusiak 头像
Warren Marusiak

高级技术传播者

为了演示如何使用 Jira Software 和各种互联工具开发、部署和管理应用,我们的团队创建了 ImageLabeller,这是一款基于 AWS 构建的简单演示应用,它使用机器学习将标签应用于图像。

本页面介绍如何将 Snyk 与 Bitbucket 集成。在您开始之前,我们建议阅读“ImageLabeller 简介”页面以了解背景信息。

随着软件应用规模和复杂性的提高,安全漏洞和漏洞利用的攻击区域也在随之扩大。

现代开发实践包括大量代码重用。首先,以特定于语言的标准库的形式,例如 C++ STL、Golang 标准库和微软 .NET。其次,以 GitHub 等地方找到的开源库的形式。这些代码大部分是使用其他库构建的,在现代软件中引入了依赖关系网络。

如此庞大的代码量导致存在安全漏洞的可能性很高。根据 CVE 列表手动检查所有依赖关系不可能掌握漏洞。在 CI/CD 进程中添加自动漏洞扫描可以帮助识别和缓解安全风险。

Atlassian 的代码协作解决方案 Bitbucket 已投资与开发人员安全解决方案的领先提供商 Snyk 进行深度嵌入式原生集成。这意味着无需安装或配置应用。您可以直接在 Bitbucket 中查看安全问题的详细信息。您将其启用后,Snyk 会自动检查您的代码及其依赖关系,并提醒您存在的漏洞,以便您可以在部署之前修复漏洞。

Snyk 跟踪的漏洞比任何其他商业数据库多四倍,当发现新的漏洞时,它们的数据库更新比其他数据库快多达 46 天。

连接 Bitbucket 和 Snyk

在 Bitbucket 中使用 Snyk 有几种方法。第一种是通过存储库屏幕上的“安全”选项卡启用与 Bitbucket 的原生 Snyk 集成。第二种是向 bitbucket-pipelines.yml 文件中添加一个 Snyk 步骤。两种方法兼用没有不利之处。Bitbucket 中的 Synk 集成让任何在 Bitbucket 中查看存储库的人都能快速访问漏洞数据。然后,您可以点击进入 Snyk 网站,以获取关于发现的每个漏洞的更多信息。bitbucket-pipelines.yml 文件中的 Snyk 步骤实现自动扫描管道中的每一次提交。

将 Snyk 集成添加到 Bitbucket

如需将 Snyk 添加到 Bitbucket 存储库,请单击“安全”选项卡,找到 Snyk 集成,然后单击“立即试用”。

将 Snyk 集成添加到 Bitbucket 图像

授予访问权限,并单击“将 Bitbucket 与 Snyk 连接”。

将 Bitbucket 连接到 Snyk

设置集成后,关闭选项卡。

成功集成指南

单击左侧导航栏中出现的新“Snyk”选项。然后单击 go.mod 文件深入查看更多详细信息。在本例中,Golang 存储库使用 go 模块来管理依赖关系。对于其他类型的存储库,会有不同的依赖关系文件。

Snyk 屏幕

如需了解关于如何修复每个漏洞的更多信息,请单击“访问 Snyk”转到 Snyk 网站。

访问 snyk

Snyk 应用上的此视图类似于 Bitbucket 中呈现的详细信息屏幕。此屏幕显示漏洞列表,以及关于每个漏洞的其他信息。

Snyk 网站屏幕截图

以下是 Snyk 中的漏洞报告示例。“详细路径”部分中显示了漏洞来自的层次结构。在下面的示例中,您可以看到 SubmiTimage 从 AWS Golang SDK 继承了这个漏洞。Snyk 在左侧汇总了所有问题的状态。在这种情况下,所有问题都无法修复。请注意“可修复”下有五个无修复可用问题。这意味着目前没有针对这些问题的缓解措施。开发人员可以监控集成,并在修复可用时立即应用修复。

漏洞详细信息屏幕截图

向 bitbucket-pipelines.yml 中添加一个 Snyk 步骤

除了通过 Bitbucket 用户界面访问 Snyk 外,还可以向 bitbucket-pipelines.yml 文件中添加步骤,通过 Bitbucket pipelines 访问 Snyk 功能。这样漏洞扫描将在每次提交时自动进行,并提醒您注意任何安全漏洞。

以下是两个 bitbucket-pipelines.yml 代码段,用于将 Snyk 测试作为管道的一部分运行。

将 Snyk 添加到 Golang 的 Bitbucket pipelines 中

本例说明如何使用 Go 模态为 Golang 项目运行 snyk 测试,以进行依赖管理。

definitions:
  steps:
    -step: &runsnyktest
        name: run snyk test
        image: snyk/snyk:golang
        script:
          - snyk auth $SNYK_TOKEN
          - cd submitImage
          - go mod graph
          - snyk test
pipelines:
  default:
    - step: *runsnyktest

将 Snyk 添加到 Python 的 Bitbucket pipelines 中

本例说明如何使用 Pip 为 Python 项目运行 snyk 测试,以进行依赖管理。

definitions:
  steps:
    -step: &runsnyktest
        name: run snyk test
        image: snyk/snyk:python
        script:
          - snyk auth $SNYK_TOKEN
          - cd src
          - snyk test --skip-unresolved
          - cd ../tst
          - snyk test --skip-unresolved
pipelines:
  default:
    - step: *runsnyktest

以下是在 Bitbucket pipeline 中运行 runsnyktest 步骤时的显示。

Bitbucket pipeline 中的 runsnyktest 步骤

总之...

将安全性集成到您的 CI/CD 管道中的做法是 DevSecOps 的核心原则。DevSecOps 主张安全性应当应用于典型 DevOps 管道 的每个阶段:计划、编码、构建、测试、发布和部署。通过将安全性集成到您的工作流程,它将成为开发过程中一个活跃、不可或缺的组成部分,而不是马后炮。这样应用更安全、事件更少和客户更开心。

Warren Marusiak
Warren Marusiak

Warren is a Canadian developer from Vancouver, BC with over 10 years of experience. He came to Atlassian from AWS in January of 2021.

分享这篇文章
下一个主题
搭配使用 Launch Darkly 功能标记与 Bitbucket pipelines

推荐阅读

将这些资源加入书签,以了解 DevOps 团队的类型,或获取 Atlassian 关于 DevOps 的持续更新。

Devops 示意图

DevOps 社区

了解更多
Devops 示意图

DevOps 学习路径

了解更多
地图插图

免费试用

了解更多

注册以获取我们的 DevOps 新闻资讯

Thank you for signing up