-

Snyk - CLI و Build-Time Tool لإيجاد وإصلاح الثغرات الأمنية المعروفة في التبعيات مفتوحة المصدر



يساعدك Snyk في العثور على الثغرات المعروفة في Node.js npm ، و Ruby و Java ، وتحديدها ومراقبتها ، كلاهما على أساس مخصص وكجزء من نظام CI (Build) الخاص بك. 

الوثائق الوثائق
الكاملة متاحة على snyk.io 

التثبيت
  1. تثبيت الأداة المساعدة سنيك باستخدام npm install -g snyk.
  2. بمجرد التثبيت ، ستحتاج إلى المصادقة باستخدام حساب Snyk الخاص بك: snyk auth
لمزيد من التفاصيل حول كيفية المصادقة ، ألق نظرة على قسم مصادقة CLI في وثائق Snyk.

CLI
snyk [options] [command] [package]
تشغيل snyk --helpللحصول على نظرة عامة سريعة على جميع الأوامر أو للحصول على التفاصيل الكاملة على CLI قراءة snyk.io CLI مستندات . 
وسيطة الحزمة اختيارية. إذا لم يتم تقديم أي حزمة ، فسيقوم سنيك بتشغيل الأمر في مقابل دليل العمل الحالي مما يتيح لك اختبار التطبيقات غير العامة. 

المميزات
  • اعثر على ثغرات أمنية معروفة عن طريق العمل snyk testعلى مشروع إما كواحد أو كجزء من عملية CI الخاصة بك.
  • أصلح الثغرات باستخدام snyk wizardو snyk protect.
    • snyk wizardيرشدك من خلال البحث عن الثغرات المعروفة في مشروعك وإصلاحها. تشتمل خيارات الإصلاح على تهيئة ملف السياسة الخاص بك لتحديثه ، والتصحيح التلقائي وتجاهل الثغرات الأمنية. (npm فقط)
    • snyk protect رمزك من نقاط الضعف من خلال تطبيق التصحيحات وقمع نقاط الضعف المحددة بشكل اختياري.
  •  snyk monitorيسجل التنبيه حالة التبعيات وأية ثغرات أمنية على snyk.io بحيث يمكن تنبيهك عند الكشف عن ثغرات أمنية جديدة أو تحديثات / تصحيحات تؤثر على مستودعاتك.
  • منع إضافة تبعيات جديدة ضعيفة إلى مشروعك من خلال العمل snyk testكجزء من CI الخاص بك لاختبارات الفشل عند إضافة تبعيات Node.js أو Ruby الضعيفة.


يتم أيضًا توفير Docker Snyk كمجموعة من صور Docker التي تحمل بيئة تشغيل كل مدير حزم. على سبيل المثال ، ستحمل صورة npm كل الإعداد المطلوب لتشغيلهnpm installفي الحاوية قيد التشغيل حاليًا. توجد حاليًا صور لـ npm و Ruby و Maven و Gradle و SBT. 
يمكن أن تعمل الصورsnyk testبشكل افتراضي على المشروع المحدد الذي تم تحميله على الحاوية كوحدة تخزين للقراءة / الكتابة ،snyk monitorوإذاMONITORتم تعيين متغير البيئة عند تشغيل حاوية المرسِل. عند التشغيلsnyk monitorباستخدامGENERATE_REPORTمجموعة متغير البيئة ، سيتم إنشاء ملف HTML يسمىsnyk_report.htmlوملف CSS يسمىsnyk_report.cssالصورة أيضا يكتب ملف يسمىsnyk-res.jsonللاستخدام الداخلي وsnyk-error.logعن الأخطاء التي يمكن أن ننظر إليها إذا حدث خطأ ما. 
يمكن استخدام متغيرات البيئة التالية عند تشغيل الحاوية في عامل الميناء:
  • SNYK_TOKEN- رمز واجهة برمجة تطبيقات Snyk ، تم الحصول عليه من https://snyk.io/account .
  • USER_ID- [OPTIONAL] معرف المستخدم الحالي على الجهاز المضيف. إذا لم يتم تقديمها ، فستأخذ معرف المستخدم الخاص بالمستخدم الجاري حاليًا داخل الحاوية. يتم استخدام هذا للبناءات CI مثل Jenkins حيث يتم تشغيلها مع مستخدم غير مميز وتريد السماح للمستخدم بالوصول إلى مجلد المشروع المحمل.
  • MONITOR- [OPTIONAL] في حالة التعيين ، يخبرنا عن الصورة التي نريد تشغيلها snyk monitorبعد التشغيل snyk test.
  • PROJECT_FOLDER - [OPTIONAL] في حالة الضبط ، سيؤدي هذا إلى إدخال الدليل الموجود داخل dir المشروع المحمّل لتشغيل snyk داخله.
  • ENV_FLAGS- [OPTIONAL] معلمات بيئة إضافية لتمريرها snyk testعند تشغيل الحاوية.
يتم تمييز صور Docker وفقًا لوقت تشغيل مدير الحزم الذي تتضمنه ، إصدار مدير الحزم وإصدار snyk. التنسيق العام للعلامات هو [snyk-version] - [package-manager] - [package-manager-version] أو فقط [package-manager] - [package-manager-version] إذا أردنا استخدام أحدث إصدار من snyk . يرجى الاطلاع على العلامات المتاحة لمعرفة الخيارات المتاحة. 
[snyk-version] - إصدار snyk المثبت في الصورة ، إذا تم حذف الإصدار ، فسيستخدم الإصدار الأحدث. [package-manager] - أحد مديري الحزم المتوفرة (مثل: npm ، mvn ، gradle ، الخ ...). 
[package-manager-version] - إصدار مدير الحزم المثبت داخل الصورة. 
يرجى الاطلاع على الأمثلة التالية حول كيفية تشغيل Snyk داخل عامل ميناء: 

Node.js (npm)
سوف نحتاج إلى تركيب مجلد جذر المشروع عند تشغيل الصورة حتى يتمكن Snyk من الوصول إلى الكود داخل الحاوية. سيتم تركيب مجلد المشروع المضيف /projectعلى الحاوية وسيتم استخدامه لقراءة ملف التبعيات وكتابة النتائج الخاصة ببنيات CI. في ما يلي مثال للتشغيل snyk testوفي snyk monitorالصورة (مع أحدث إصدار من Snyk) لـ npm:
docker run -it
     -e "SNYK_TOKEN=<TOKEN>"
     -e "USER_ID=1234"
     -e "MONITOR=true"
     -v "<PROJECT_DIRECTORY>:/project"
   snyk/snyk-cli:npm test --org=my-org-name

RubyGems
سوف نحتاج لتركيب مجلد جذر المشروع عند تشغيل الصورة حتى يتمكن Snyk من الوصول إلى الكود داخل الحاوية. سيتم تركيب مجلد المشروع المضيف/projectعلى الحاوية وسيتم استخدامه لقراءة ملف التبعيات وكتابة النتائج الخاصة ببنيات CI. إليك مثالاً للتشغيلsnyk testوفيsnyk monitorالصورة (مع أحدث إصدار من Snyk) لـ RubyGems:
docker run -it
     -e "SNYK_TOKEN=<TOKEN>"
     -e "USER_ID=1234"
     -e "MONITOR=true"
     -v "<PROJECT_DIRECTORY>:/project"
   snyk/snyk-cli:rubygems test --org=my-org-name

Maven 3.5.4
سوف نحتاج لتركيب مجلد الجذر للمشروع عند تشغيل الصورة بحيث يمكن لـ Snyk الوصول إلى الكود داخل الحاوية وتركيب المجلدات المحلية .m2 و .ivy2. سيتم تركيب مجلد المشروع المضيف/projectعلى الحاوية وسيتم استخدامه لقراءة ملف التبعيات وكتابة النتائج الخاصة ببنيات CI. في ما يلي مثال للتشغيلsnyk testوفيsnyk monitorالصورة (مع أحدث إصدار من Snyk) لـ Maven:
docker run -it
     -e "SNYK_TOKEN=<TOKEN>"
     -e "USER_ID=1234"
     -e "MONITOR=true"
     -v "<PROJECT_DIRECTORY>:/project"
     -v "/home/user/.m2:/home/node/.m2"
     -v "/home/user/.ivy2:/home/node/.ivy2"
   snyk/snyk-cli:maven-3.5.4 test --org=my-org-name

SBT 0.13.16 / SBT 1.0.4
سوف نحتاج إلى تركيب مجلد جذر المشروع عند تشغيل الصورة بحيث يمكن لـ Snyk الوصول إلى الكود داخل الحاوية وتشغيل المجلدات المحلية .m2 و .ivy2. سيتم تركيب مجلد المشروع المضيف/projectعلى الحاوية وسيتم استخدامه لقراءة ملف التبعيات وكتابة النتائج الخاصة ببنيات CI. فيما يلي أمثلة للتشغيلsnyk testوفيsnyk monitorالصورة (مع أحدث إصدار من Snyk) لـ SBT:
ملاحظة:dependency-treeالوحدة النمطية مطلوبةsnykلمعالجة مشاريع Scala. استخدام الإصدار 0.8.2 لـ SBT 0.13.16 والإصدار 0.9.0 للإصدار SBT 1.0.4.
docker run -it
     -e "SNYK_TOKEN=<TOKEN>"
     -e "USER_ID=1234"
     -e "MONITOR=true"
     -v "<PROJECT_DIRECTORY>:/project"
     -v "/home/user/.m2:/home/node/.m2"
     -v "/home/user/.ivy2:/home/node/.ivy2"
   snyk/snyk-cli:sbt-0.13.16 test --org=my-org-name
docker run -it
     -e "SNYK_TOKEN=<TOKEN>"
     -e "USER_ID=1234"
     -e "MONITOR=true"
     -v "<PROJECT_DIRECTORY>:/project"
     -v "/home/user/.m2:/home/node/.m2"
     -v "/home/user/.ivy2:/home/node/.ivy2"
   snyk/snyk-cli:sbt-1.0.4 test --org=my-org-name

Gradle 2.8 / Gradle 4.4
سنحتاج لتركيب مجلد جذر المشروع عند تشغيل الصورة حتى يتمكن Snyk من الوصول إلى الشفرة داخل الحاوية وتركيب المجلدات المحلية .m2 و .ivy2. سيتم تركيب مجلد المشروع المضيف/projectعلى الحاوية وسيتم استخدامه لقراءة ملف التبعيات وكتابة النتائج الخاصة ببنيات CI. في ما يلي مثال للتشغيلsnyk testوفيsnyk monitorالصورة (مع أحدث إصدار من Snyk) لـ Gradle:
docker run -it
     -e "SNYK_TOKEN=<TOKEN>"
     -e "USER_ID=1234"
     -e "MONITOR=true"
     -v "<PROJECT_DIRECTORY>:/project"
     -v "/home/user/.m2:/home/node/.m2"
     -v "/home/user/.ivy2:/home/node/.ivy2"
   snyk/snyk-cli:gradle-2.8 test --org=my-org-name
docker run -it
     -e "SNYK_TOKEN=<TOKEN>"
     -e "USER_ID=1234"
     -e "MONITOR=true"
     -v "<PROJECT_DIRECTORY>:/project"
     -v "/home/user/.m2:/home/node/.m2"
     -v "/home/user/.ivy2:/home/node/.ivy2"
   snyk/snyk-cli:gradle-4.4 test --org=my-org-name


Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

-
Image
Dumpzilla - استخراج جميع معلومات الطب الشرعي مثيرة للاهتمام من متصفحات فايرفوكس ، Iceweasel و Seamonkey Dumpzilla الموقع الرسمي   : [www.dumpzilla.org] (   http://www.dumpzilla.org   "موزيلا متصفح   الطب الشرعي   أداة") Manual   : [Español] (   http://dumpzilla.org/Manual_dumpzilla_es.txt   "Manual en español de dumpzilla") / [إنجليزي] (   http://dumpzilla.org/Manual_dumpzilla_en.txt   "Dumpzilla english Manual") SO   : يونكس / وين لقطات الشاشة   : [Dummpzilla] (   http://dumpzilla.org/Screenshots/screenshots.html   "لقطات شاشة dumpzilla") تم تطوير تطبيق Dumpzilla في بيثون 3.x و له استخراج الغرض وجميع معلومات مثيرة للاهتمام الطب الشرعي من فايرفوكس، Iceweasel وسيمانكي   المتصفحات   لتحليلها.   نظرًا لتطويره في Python 3.x ، فقد لا يعمل بشكل صحيح في إصدارات Python القديمة ، خاصة مع بعض الأحرف.   يعمل تحت أنظمة Unix و   Windows   32/64 بت. يعمل في   واجهة   سطر الأوامر   ، بحيث يمكن إعادة توجيه عمليات تفريغ المعلوم
Lire la suite
-
Image
Ethereum Classic (ETC) تم تسجيله بواسطة هجوم مضاعف بقيمة 1.1 مليون دولار لماذا هذا الهجوم يتعلق؟  أسفرت عملية السرقة عن خسارة بقيمة 1.1 مليون دولار من عملة  Classic الرقمية.  انخفضت العملة الرقمية على الفور في السعر بعد صدور الخبر.  كشفت Coinbase يوم الاثنين أنها حددت "إعادة تنظيم سلسلة عميقة" من blockchain Ethereum الكلاسيكية (أو هجوم 51 في المئة من الشبكة) ، مما يعني أن شخص ما يسيطر على غالبية عمال المناجم على الشبكة (أكثر من 50 ٪) قد تعديل تاريخ المعاملة. بعد إعادة تنظيم blockchain Ethereum ، كان المهاجمون قادرين على ما يطلق عليه "إنفاق مزدوج" حول 219،500 ETC باستعادة العملات التي تم صرفها من قبل من المستلمين الشرعيين ونقلهم إلى كيانات جديدة اختارها المهاجمون (عادة ما تكون محفظة في سيطرتهم). "لاحظنا تكرار إعادة تنظيم عميقة من blockchain Ethereum الكلاسيكية، ومعظمها الواردة ضعف تنفق" قال المهندس الأمن Coinbase كافة نيسبيت في  بلوق وظيفة  .  "القيمة الإجمالية للإنفاق المزدوج الذي لاحظناه حتى الآن هي
Lire la suite
-
Image
Metasploit 5.0 - إطار اختبار الاختراق الأكثر استخدامًا في  العالم المعرفة قوة ، خاصة عندما تكون مشتركة. يساعد التعاون بين مجتمع المصدر المفتوح و Rapid7 ، Metasploit فرق الأمان على القيام بأكثر من مجرد التحقق من نقاط الضعف ، وإدارة تقييمات الأمان ، وتحسين الوعي الأمني ​​؛ إنه يمنح المدافعين عن الأسلحة ويبقون على الدوام خطوة واحدة (أو اثنتين) قبل المباراة. أعلنت Rapid7 عن إطلاق Metasploit 5.0 ، الإصدار الجديد يتضمن العديد من الميزات الجديدة الهامة ، وتعتقد الشركة أنه سيكون أسهل في الاستخدام وأكثر قوة. Metasploit هو إطار اختبار الاختراق الأكثر استخدامًا ولديه أكثر من 1500 وحدة تقدم وظائف تغطي كل مرحلة من مراحل اختبار الاختراق ، مما يجعل حياة اختبار الاختراق أسهل نسبيًا. تتضمن أهم التغييرات التي تم إدخالها في Metasploit 5.0 على قواعد بيانات جديدة وأوتومات واجهات برمجة التطبيقات التلقائية ، ووحدات التهرب والمكتبات ، ودعم اللغة ، وتحسين الأداء. Metasploit 5.0 متوفر حاليًا من مشروع GitHub الرسمي. يقول Rapid7 إنه في
Lire la suite