書いていること
簡単な概要とWeb UIを使ってのスキャンとその結果のみです。
間違っていたらご指摘ください。
What is Snyk
Snykはソースコード、依存のオープンソース、コンテナイメージ、IaCの設定の脆弱性をスキャンし優先順位をつけ修正するサービス。
提供サービスたち
それぞれ役割がある様です。
- Snyk Open Source: オープンソースのスキャン
- Snyk Code: 自分のソースコードのスキャン
- Snyk Container: コンテナイメージのスキャン
-
Snyk Infrastructure as Code: IaCの設定のスキャン
- IaC+: AWS account, Azure subscriptionの設定ミスのスキャン(?)
選べる実行環境
4つの方法が提供されている
- Web
- CLI
- IDE
- API
サポート
言語
主流の言語は大体サポートされています。
Supported languages and frameworks.
OS
Supported operating system distributions
IaC
Terraformに加えて、k8s manifestやHelm Chartもある模様。
Supported IaC languages, cloud providers, and cloud resources
インテグレーション
かなり数が多いので割愛。
Integrate with Snyk
プラン
気になるお値段は...
Snyk Pricing Plans.
| プラン | 月額 |
|---|---|
| Free | $0 |
| Team | $52 |
| Enterprise | お見積もり |
EnterpriseでもIaC, Containerのスキャンには上限があるとのこと。
インサイトやレポートはEnterpriseのみの提供。
How Snyk handles your data
企業の人は大事。
How Snyk handles your data.
Snykはユーザーの以下の情報を保管します。
これらは一般的なデータで、製品(Snyk Code等)固有のデータもありますのでリンクを一読することをお勧めします。
- 脆弱性のソースコードおよびデータ
- Snykをセットアップするのに必要なデータ(トークン等)
- ユーザー名、email, IPアドレス等
- 請求に必要なデータ
- 実行されたCLIコマンドなどのユーザー行動
スキャンしてみる
簡単のためSnyk Open Sourceのみ紹介します。
Snykアカウント作成済みの状態から説明します。
スキャン対象のコード
個人で作成したsnyk-sandboxを使います。
内容はgolangのginというwebフレームワークの簡単なコードです。
現在の最新はv1.9.1ですが、テストのためv1.8.0を使用してみました。
スキャン対象の設定
DashboardのAdd Projectから以下の画面が出てくるので、対象リポジトリとパス、スキャン対象外のディレクトリを選択します。
結果
Snyk Open Source
ダッシュボードに結果が出てきました。ginの検出内容を覗いてみます。
スコア付けとCVE等、fixされたバージョンが出てきました。
結構見やすい印象。
その他
スキャンの設定をしているリポジトリにPRを上げると自動でスキャンしてくれる。
このようなアイコンでした。
