В свете недавнего случая внедрения вредоносного кода через популярный модуль JavaScript в npm я хотел бы упомянуть snyk.io .
В простом, бесплатном сценарии, snyk.io сканирует файлы сборки или зависимостей в ваших проектах github или gitlab и периодически сообщает об уязвимостях . Snyk поддерживает проекты Node, Ruby, Java, Scala и Python.
Если вы платите за snyk.io , вы получаете гораздо больше интеграций, доступ к интерфейсам командной строки и API и т. Д.
В моем собственном испытании я обнаружил, что даже для довольно недавней загрузки spring и дерева зависимостей apache camel существует дюжина уязвимостей с высоким рейтингом! (Многие из них с помощью “com.fasterxml.jackson.core: jackson-databind@2.9.1 “). Итак, следующий вопрос: если желательно перейти на безопасный патч , скажем, jackson–databind, хотя я использую его только косвенно – другими словами: будет ли зависимая платформа по-прежнему работать с защищенной версией патча?
Альтернативой с открытым исходным кодом является OWASP-Проверка зависимостей . Он сканирует Java и.Сетевые зависимости, имеет экспериментальную поддержку Python, Ruby, PHP (композитор) и Node.js приложения. Инструмент, похоже, основан на JVM. Есть SonarQube-плагин . Я сам этого не пробовал.
Оригинал: “https://dev.to/erikpischel/checking-your-project-dependencies-for-vulnerabilites-17cd”