如何用Xray和Synk保駕護航，相信很多沒有經(jīng)驗的人對此束手無策，為此本文總結(jié)了問題出現(xiàn)的原因和解決方法，通過這篇文章希望你能解決這個問題。

成都創(chuàng)新互聯(lián)一直通過網(wǎng)站建設(shè)和網(wǎng)站營銷幫助企業(yè)獲得更多客戶資源。 以"深度挖掘，量身打造，注重實效"的一站式服務，以成都網(wǎng)站建設(shè)、網(wǎng)站設(shè)計、移動互聯(lián)產(chǎn)品、成都全網(wǎng)營銷服務為核心業(yè)務。10余年網(wǎng)站制作的經(jīng)驗，使用新網(wǎng)站建設(shè)技術(shù)，全新開發(fā)出的標準網(wǎng)站，不但價格便宜而且實用、靈活，特別適合中小公司網(wǎng)站制作。網(wǎng)站管理系統(tǒng)簡單易用，維護方便，您可以完全操作網(wǎng)站資料，是中小公司快速網(wǎng)站建設(shè)的選擇。

一、背景

在當下軟件應用的開發(fā)過程當中，自研的內(nèi)部代碼所占的比例逐步地減少，開源的框架和共用庫已經(jīng)得到了廣泛的引用。如下圖所示，在一個Kubernetes部署的應用當中，我們自己開發(fā)代碼所占的比例可能連0.1%都不到。

開源軟件能夠幫助開發(fā)者共享彼此的成果，使得我們能夠快速復用其他人開發(fā)并已得到驗證的軟件庫，從而能夠集中精力專注于創(chuàng)新性的工作。然而，開源軟件的大量引用也給我們的應用帶來了安全隱患。安全檢測已成為當前DevOps流程的重要組成部分。

二、你的應用安全嗎

據(jù)不完全統(tǒng)計，現(xiàn)在有78%的企業(yè)都在使用開源軟件。但是，大家在享受開源軟件帶來的研發(fā)便利的同時，是否也意識到開源軟件帶來的安全隱患呢？

從上圖的統(tǒng)計數(shù)據(jù)可以看出，只有13%的企業(yè)會把安全放在引用開源軟件時的首要關(guān)注點。大部分的使用者選擇相信開源軟件的創(chuàng)造和維護者會保證其安全性。然而，下圖的統(tǒng)計數(shù)據(jù)表明，安全性并不是開源軟件維護者的維護重點。

這樣的現(xiàn)狀導致我們常用的開源軟件庫包含了各種各樣的安全漏洞，例如，據(jù)統(tǒng)計，目前14%的NPM包、30%的Docker Hub鏡像都包含安全漏洞。而且在這些漏洞被發(fā)現(xiàn)之后，也得不到及時的修復。據(jù)統(tǒng)計，Maven包里有59%的已知安全漏洞還沒有得到修復，而漏洞的平均修復時間是290天，最嚴重級別漏洞的平均修復時間也僅是265天。黑客們已逐漸把開源軟件作為了主要的攻擊目標。

該怎么樣保證我們上線應用的安全呢？

三、JFrog Xray，監(jiān)測安全漏洞的利器

JFrog公司提供的Artifactory+Xray是一個很好的產(chǎn)品組合。Artifactory是全語言的制品倉庫，能夠在同一個倉庫中存儲和管理我們應用研發(fā)中使用的所有外部依賴包。而Xray通過對Artifactory的監(jiān)視，能夠在構(gòu)建，甚至開發(fā)階段就發(fā)現(xiàn)安全漏洞問題，使得安全監(jiān)測前置，避免了在應用上線前緊急排查問題的窘境。

如上圖所示，當Artifactory倉庫中新加入了制品包，設(shè)置了對其監(jiān)視的Xray就會啟動安全檢查，并報告查到的安全漏洞和License授 權(quán)情況。而針對安全漏洞，Xray會提供詳細的漏洞信息，以及在應用中的準確定位來輔助我們對其進行分析和檢查。

同時，針對查出來的安全漏洞，Xray還提供了針對其擴散范圍的分析。也就是說，可以幫助我們分析，出了被檢查的這個制品包外，還有哪些其他的應用也包含了這個安全漏洞。

除了安全漏洞及其擴散范圍的分析，Xray還提供自定義問題的能力。我們可以把用其他工具發(fā)現(xiàn)的安全問題，或者如性能過低、版本過老等非安全問題定義在對應的制品包上，同樣也可以利用Xray的能力檢查這些問題在我們的應用中的擴散范圍。

四、Snyk, 不僅僅是監(jiān)測漏洞

JFrog Xray是基于開源的NVD開源漏洞數(shù)據(jù)庫來監(jiān)測安全漏洞的，而Snyk（https://snyk.io）提供了額外的商業(yè)漏洞數(shù)據(jù)庫。Xray可以通過和Snyk的集成，實現(xiàn)利用Snyk的商業(yè)漏洞數(shù)據(jù)庫進行安全漏洞檢查。

當然，基于自身的商業(yè)漏洞數(shù)據(jù)庫，Snyk也提供了安全漏洞的掃描和監(jiān)測能力。Snyk提供了與各種各樣平臺的集成，幫助我們監(jiān)測部署在這些平臺上的應用安全。

然而，Snyk的能力不僅如此，他還能幫助我們修復安全漏洞。例如，當和我們的Github Enterprise集成后，我們可以選擇我們需要監(jiān)測的項目。

選定后，Snyk就會自動掃描我們的代碼并報告在項目當中發(fā)現(xiàn)的安全漏洞。

Snyk大的特色是，針對這些安全漏洞，能夠自動給出PR（Pull Request）形式的修復建議。PR既可以針對所有發(fā)現(xiàn)的漏洞，也可以只針對某一個具體的漏洞。

直接Merge這些PR就可以幫助我們替換使用已修復安全漏洞的依賴包，實現(xiàn)安全隱患的自動消除。

開源軟件的大量引用，在方便了應用開發(fā)的同時，也帶來了安全的隱患。利用JFrog Xray和Snyk等工具，能夠幫助我們盡早地發(fā)現(xiàn)開源依賴引入的安全漏洞，分析漏洞的擴散范圍，也可以給出修復建議，實現(xiàn)安全隱患的自動消除。

看完上述內(nèi)容，你們掌握如何用Xray和Synk保駕護航的方法了嗎？如果還想學到更多技能或想了解更多相關(guān)內(nèi)容，歡迎關(guān)注創(chuàng)新互聯(lián)-成都網(wǎng)站建設(shè)公司行業(yè)資訊頻道，感謝各位的閱讀！

新聞標題：如何用Xray和Synk保駕護航-創(chuàng)新互聯(lián)
鏈接地址：http://weahome.cn/article/dpcseh.html