91超碰碰碰碰久久久久久综合_超碰av人澡人澡人澡人澡人掠_国产黄大片在线观看画质优化_txt小说免费全本

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

如何用Xray和Synk保駕護航

發布時間:2021-11-26 14:58:08 來源:億速云 閱讀:213 作者:柒染 欄目:開發技術

如何用Xray和Synk保駕護航,相信很多沒有經驗的人對此束手無策,為此本文總結了問題出現的原因和解決方法,通過這篇文章希望你能解決這個問題。

一、背景

在當下軟件應用的開發過程當中,自研的內部代碼所占的比例逐步地減少,開源的框架和共用庫已經得到了廣泛的引用。如下圖所示,在一個Kubernetes部署的應用當中,我們自己開發代碼所占的比例可能連0.1%都不到。

如何用Xray和Synk保駕護航

開源軟件能夠幫助開發者共享彼此的成果,使得我們能夠快速復用其他人開發并已得到驗證的軟件庫,從而能夠集中精力專注于創新性的工作。然而,開源軟件的大量引用也給我們的應用帶來了安全隱患。安全檢測已成為當前DevOps流程的重要組成部分。

二、你的應用安全嗎

據不完全統計,現在有78%的企業都在使用開源軟件。但是,大家在享受開源軟件帶來的研發便利的同時,是否也意識到開源軟件帶來的安全隱患呢?

如何用Xray和Synk保駕護航

從上圖的統計數據可以看出,只有13%的企業會把安全放在引用開源軟件時的首要關注點。大部分的使用者選擇相信開源軟件的創造和維護者會保證其安全性。然而,下圖的統計數據表明,安全性并不是開源軟件維護者的維護重點。

如何用Xray和Synk保駕護航

這樣的現狀導致我們常用的開源軟件庫包含了各種各樣的安全漏洞,例如,據統計,目前14%的NPM包、30%的Docker Hub鏡像都包含安全漏洞。而且在這些漏洞被發現之后,也得不到及時的修復。據統計,Maven包里有59%的已知安全漏洞還沒有得到修復,而漏洞的平均修復時間是290天,最嚴重級別漏洞的平均修復時間也僅是265天。黑客們已逐漸把開源軟件作為了主要的攻擊目標。

該怎么樣保證我們上線應用的安全呢?

三、JFrog Xray,監測安全漏洞的利器

JFrog公司提供的Artifactory+Xray是一個很好的產品組合。Artifactory是全語言的制品倉庫,能夠在同一個倉庫中存儲和管理我們應用研發中使用的所有外部依賴包。而Xray通過對Artifactory的監視,能夠在構建,甚至開發階段就發現安全漏洞問題,使得安全監測前置,避免了在應用上線前緊急排查問題的窘境。

如何用Xray和Synk保駕護航

如上圖所示,當Artifactory倉庫中新加入了制品包,設置了對其監視的Xray就會啟動安全檢查,并報告查到的安全漏洞和License授 權情況。而針對安全漏洞,Xray會提供詳細的漏洞信息,以及在應用中的準確定位來輔助我們對其進行分析和檢查。

如何用Xray和Synk保駕護航

同時,針對查出來的安全漏洞,Xray還提供了針對其擴散范圍的分析。也就是說,可以幫助我們分析,出了被檢查的這個制品包外,還有哪些其他的應用也包含了這個安全漏洞。

如何用Xray和Synk保駕護航

除了安全漏洞及其擴散范圍的分析,Xray還提供自定義問題的能力。我們可以把用其他工具發現的安全問題,或者如性能過低、版本過老等非安全問題定義在對應的制品包上,同樣也可以利用Xray的能力檢查這些問題在我們的應用中的擴散范圍。

如何用Xray和Synk保駕護航

四、Snyk, 不僅僅是監測漏洞

JFrog Xray是基于開源的NVD開源漏洞數據庫來監測安全漏洞的,而Snyk(https://snyk.io)提供了額外的商業漏洞數據庫。Xray可以通過和Snyk的集成,實現利用Snyk的商業漏洞數據庫進行安全漏洞檢查。

如何用Xray和Synk保駕護航

當然,基于自身的商業漏洞數據庫,Snyk也提供了安全漏洞的掃描和監測能力。Snyk提供了與各種各樣平臺的集成,幫助我們監測部署在這些平臺上的應用安全。

如何用Xray和Synk保駕護航

然而,Snyk的能力不僅如此,他還能幫助我們修復安全漏洞。例如,當和我們的Github Enterprise集成后,我們可以選擇我們需要監測的項目。

如何用Xray和Synk保駕護航

選定后,Snyk就會自動掃描我們的代碼并報告在項目當中發現的安全漏洞。

如何用Xray和Synk保駕護航

Snyk最大的特色是,針對這些安全漏洞,能夠自動給出PR(Pull Request)形式的修復建議。PR既可以針對所有發現的漏洞,也可以只針對某一個具體的漏洞。

如何用Xray和Synk保駕護航

如何用Xray和Synk保駕護航

直接Merge這些PR就可以幫助我們替換使用已修復安全漏洞的依賴包,實現安全隱患的自動消除。

開源軟件的大量引用,在方便了應用開發的同時,也帶來了安全的隱患。利用JFrog Xray和Snyk等工具,能夠幫助我們盡早地發現開源依賴引入的安全漏洞,分析漏洞的擴散范圍,也可以給出修復建議,實現安全隱患的自動消除。

看完上述內容,你們掌握如何用Xray和Synk保駕護航的方法了嗎?如果還想學到更多技能或想了解更多相關內容,歡迎關注億速云行業資訊頻道,感謝各位的閱讀!

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

灵璧县| 新干县| 汉阴县| 耒阳市| 隆子县| 茶陵县| 平邑县| 博爱县| 宝坻区| 津市市| 邵武市| 华阴市| 犍为县| 张家川| 佛学| 湖南省| 富宁县| 临西县| 宁都县| 廉江市| 东安县| 安乡县| 桂阳县| 西充县| 湘潭市| 望奎县| 乌拉特中旗| 安图县| 张家港市| 朔州市| 龙胜| 扶绥县| 遂川县| 德惠市| 洛南县| 科技| 本溪| 晋宁县| 丰城市| 宁明县| 宁河县|