Close
是否使用您的语言查看此页面?
所有语言
选择您的语言
产品

精选

Jira Software

项目和事务追踪

Confluence

内容协作

Jira Service Management

高速 ITSM

Trello

可视化项目管理

查看全部产品

Marketplace

为您的所有 Atlassian 产品连接数以千计的应用和集成

Close dropdown
解决方案

精选

工作管理

管理项目并确保所有团队的目标一致,以实现可交付成果

IT 服务管理

让开发、IT 运营和业务团队快速交付出色的服务

敏捷开发和 DevOps

从发现到交付和运营,开展全球一流的敏捷软件组织

按团队规模

Enterprise

小型企业

初创企业

非盈利企业

按团队职能

软件开发

IT

金融

营销

人力资源

按行业划分

零售

电信

专业服务

政府

Close dropdown
资源

学习

Atlassian 大学

Atlassian 行动手册

产品文档

开发人员资源

支持

Atlassian 社区

Atlassian 支持

Atlassian 迁移计划

企业服务

合作伙伴支持

购买和许可

连接

关于我们

诚聘英才

工作生活博客

活动

Close dropdown
Search
Toggle menu
Close search

文章

DevOps 原则
后退
概述
DevOps 的历史
DevOps 的优势
DevOps 文化
DevOps 最佳实践
DevOps 与敏捷开发
DevOps 工程师
YBIYRI:挑战和最佳实践
如何实践 DevOps
How Atlassian does operational readiness
DevOps 框架
后退
概述
CALMS 框架
团队拓扑
团队结构
DevOps 指标
DORA 指标
私有云
公有云
部署自动化
SRE vs DevOps
DevOps 工具
后退
概述
DevOps 工具链:关键注意事项 | Atlassian
DevOps 监控
DevOps 管道
DevSecOps 工具
测试自动化
CI/CD 工具

教程

自动化
后退
概述
有关拉取请求合并的规则
有关转换事务的规则
自动同步 StatusPage 的规则
有关拉取请求批准的规则
测试
后退
概述
使用 Xray 在 Jira 中进行自动测试
使用 Xray 和 Jira 创建和管理测试用例
从自动化 mabl 测试创建 Jira 事务
在 Jira 和 Zephyr 中跟踪团队的进度
安全性
后退
概述
Snyk 和 Bitbucket Cloud 如何支持 DevSecOps
使用 Bitbucket Pipelines 和 Snyk Pipe 实现 DevSecOps
可观察性
后退
概述
Jira 和 Sentry 应用监控
Jira Dynatrace 集成教程
Jira Dynatrace 事务教程
集成 Jira 和 Datadog
功能标记
后退
概述
LaunchDarkly for Jira
Split 和 Jira
持续交付
后退
概述
JFrog 和 Jira
Harness Jira 集成教程
在 Jira 中启用 GitLab 部署
持续集成教程
持续交付教程
持续部署教程
使用 Bitbucket Pipelines 编写任务脚本的提示
集成测试教程

互动指南

演示 Atlassian Open DevOps
后退
概述
Atlassian ImageLabeller
Jira 与 CI/CD 集成
设置 AWS SageMaker 预训练模型
部署 ImageLabeller
后退
概述
使用 Bitbucket 部署 ImageLabeller
使用 GitHub 部署 ImageLabeller
使用 GitLab 部署 ImageLabeller
监控 ImageLabeller
后退
概述
使用 Opsgenie 进行监控
使用 Bitbucket 部署 AWS CloudWatch 警报
使用 GitHub 部署 AWS CloudWatch 警报
使用 GitLab 部署 AWS CloudWatch 警报
第三方集成
后退
概述
将 Snyk 集成到 Atlassian Open DevOps
搭配使用 Launch Darkly 功能标记与 Bitbucket pipelines
搭配使用 Split 功能标记与 Bitbucket pipelines
使用 Atlassian API 进行构建
后退
概述
集成 Concourse-CI 和 Open DevOps

如何集成 Snyk 和 Bitbucket Cloud 以实现 DevSecOps

Simon Maple 头像
Simon Maple

Snyk 的现场首席技术官

通过将 Snyk 与 Bitbucket Cloud 和 Jira 集成,实现 DevSecOps。

Snyk 与多种 Atlassian 产品集成,以增强 DevSecOps 团队的工作流和管道。本教程介绍如何利用 Atlassian BitbucketSnyk 实现左移安全性的模式。通过运用这些技术,您的团队便可按照 DevSecOps 的速度扫描基于应用和容器的工作负载。您将学习如何使用这些模式将安全性融入到管道中的各个阶段。

时间

15 分钟阅读。

观众

  • 开发人员
  • DevOps 和 DevSecOps 工程师
  • 应用安全和应用开发团队

先决条件

您有一个 Snyk 帐户,它可从此处获取。

您已拥有 Atlassian Bitbucket 帐户。在此处登录,或从此处开始

第 1 步:配置您的环境

安装 Snyk CLI

Snyk CLI 使用您的 Snyk 帐户对您的计算机进行身份验证。CLI 工具可帮助您查找和修复依赖关系中的已知漏洞,既可手动完成,也可纳入到 CI/CD 管道中。Snyk 提供安装 CLI 的相关完整说明,以多种格式支持常用的操作系统和环境。例如,CLI 可通过以下命令与 brew 搭配使用:

brew tap snyk/tap
brew install snyk

安装 CLI 后,可使用以下命令进行身份验证:

snyk auth

此命令将打开一个浏览器选项卡,以完成身份验证流程。当您准备好扫描存储库时,便可单击“身份验证”按钮。完成身份验证后,您可以返回终端继续工作。

其他实验室资源

本教程中包含的练习包括将要在指定模块页面中共享的命令或代码片段的组合,以及公共 Bitbucket 存储库中可用的模板和源代码。设置 Bitbucket Cloud 帐户后,您需要将这些资源复制到您的帐户中。为此,请完成以下步骤:

克隆存储库

单击此处将上游存储库克隆到您的 Bitbucket 帐户中。Atlassian 的文档提供了有关如何克隆存储库的详细说明。

在本地克隆您的复刻

完成复刻后,您需要克隆复刻的存储库。请查看 Atlassian 关于如何克隆存储库的文档以获取详细说明。

第 2 步:将 Snyk 连接到 Bitbucket

在本节中,我们要将 Snyk 与 Bitbucket 连接,以扫描我们的 Bitbucket 应用中是否存在开源漏洞。

Bitbucket 进程示意图

什么是软件组成分析 (SCA)?

软件组成分析 (SCA) 是一种开源组件管理工具。它会生成一份报告,列出应用中的所有开源组件,包括直接和间接依赖关系。使用 SCA 工具,开发团队可以快速跟踪和分析引入到项目中的开源组件。

尽管开源组件既方便又使用广泛,但向来难以跟踪。因此,开发人员依靠电子邮件和电子表格等手动流程来缓解此状况。但是,这些手动流程有可能破坏开源带来的便利性,提供的解决方案也不完善。比之更理想的方法是利用 SCA 工具来即时洞察各个组件。

为什么要使用 SCA 工具?

开源组件几乎是所有垂直领域软件开发的主要组成部分。无论组织规模如何,SCA 都可以帮助确定应用中对您的业务至关重要的开源组件。SCA 工具可让开发人员:

1. 了解应用中使用的依赖关系。

2. 在整个软件开发生命周期 (SDLC) 内实施安全和合规性策略

3. 从源头主动修复潜在漏洞。

4. 提高团队效率和公司安全状况。

第 3 步:创建应用密码

您需要创建应用密码才能授权 Snyk 访问您的存储库并启用 Snyk 的 Bitbucket Cloud 集成

要创建应用密码:

1. 在屏幕左下角的头像中,单击“个人设置”。

个人设置窗口

2. 单击“访问权限管理”下的“应用密码”。

访问管理窗口

3. 单击“创建应用密码”。

应用密码窗口

4. 为应用密码取名,它应与将使用该密码的应用相关。

应用密码窗口

5. 选择您希望此应用密码具有的特定访问权限和权限。

  • 帐户:
  • 团队成员资格:
  • 项目:
  • 存储库:读写
  • 拉取请求:读写
  • Webhook:读写

6. 复制生成的密码,然后将其记录下来,或粘贴到您要授予访问权限的应用中。密码只会显示一次。

第 4 步:添加存储库变量

您需要在存储库级别定义存储库变量,这些变量后续会在管道中引用。 这些变量包括以下内容:

  • SNYK_TOKEN - 用于对您的 Snyk 帐户进行身份验证的 Snyk API 令牌。这是一个安全变量。
  • IMAGE - 容器镜像名称。这不是安全变量。

其他变量用于增强管道操作,本教程对此不做讨论。

存储库设置窗口

第 5 步:获取您的 Snyk API 令牌

1. 获取您的 Snyk API 令牌

在 Snyk 控制台中,浏览到设置(图中的齿轮图标),然后在常规菜单下复制您的组织 ID

Snyk 常规设置

复制令牌后,返回到 Bitbucket Cloud UI 并定义 SNYK_TOKEN 存储库变量

第 6 步:启用 Bitbucket 集成

在 Snyk 控制台中,导航到集成,然后选择 Bitbucket Cloud

Snyk 集成窗口

Bitbucket Cloud 集成页面中,在用户名字段输入您的 Bitbucket 用户名,并在应用密码字段输入上一步中的 Bitbucket 应用密码。然后,单击保存

设置:集成窗口

成功连接 Snyk 和 Bitbucket 帐户后,您将看到一条确认消息,并可将 Bitbucket Cloud 存储库添加到 Snyk

继续留在此页面上。在下一节中,您将学习如何导入 Bitbucket Cloud 存储库并使用 Snyk 对其进行扫描。

扫描并监控您的 Bitbucket 应用

扫描和监控 Bitbucket 缩略图

从源头开始扫描应用以查找开源依赖项中的漏洞。在上一节中,我们启用了 Snyk 到 Bitbucket 的集成,并可导入我们的首个项目。

第 7 步:将 Bitbucket Cloud 存储库添加到 Snyk

在上一节的最后一个屏幕上,单击将 Bitbucket Cloud 存储库添加到 Snyk

将 Bitbucket Cloud 存储库添加到 Snyk

配置环境模块中找到您克隆的存储库。单击勾选框将其选中,然后单击添加选定的存储库按钮以导入项目。

右上角的“添加选定的存储库”按钮

第 8 步:查看漏洞报告

您应能看到基于 packages.json 的漏洞计数,以及每个漏洞的详细信息。单击进入刚刚扫描的项目,然后在 Snyk 中查看结果。您不仅会收到漏洞的严重性和漏洞利用成熟度之类的上下文信息,还可以获得以下强大功能:

漏洞报告
  • 修复此漏洞,以通过升级直接依赖关系或修补漏洞来帮助您修复漏洞。
  • 优先级分数可帮助您有效确定修复内容的优先级。分数范围从 1 到 1000 不等,由专有算法提供支持。该算法可处理多种因素,例如 CVSS 分数、有无已知漏洞修复方法、漏洞的新旧程度,以及是否可以访问等。
  • Jira 集成可让您在 Jira 中创建事务。

进一步了解适用于 Atlassian Open DevOps 的集成

Simon Maple
Simon Maple

Simon Maple is the Field CTO at Snyk, a Java Champion since 2014, Virtual JUG founder, and London Java Community co-leader. He is an experienced speaker, with a passion for community. When not traveling, Simon enjoys spending quality time with his family, cooking and eating great food.

分享这篇文章
下一个主题
Atlassian Open DevOps

推荐阅读

将这些资源加入书签,以了解 DevOps 团队的类型,或获取 Atlassian 关于 DevOps 的持续更新。

Devops 示意图

DevOps 社区

了解更多
Devops 示意图

DevOps 学习路径

了解更多
地图插图

免费试用

了解更多

注册以获取我们的 DevOps 新闻资讯

Thank you for signing up