LoginSignup
14
5

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

@_akira19(Akira)

30秒で分かるSnyk(脆弱性検知)

Last updated at Posted at 2022-07-18

はじめに

脆弱性検知を勝手にやってくれるサービスSnykがどんなものか30秒くらいで説明します。
登録方法は調べればすぐ出てくるので割愛します。

使い方

Githubと連携し追加したいプロジェクトを選択すると、このような画面になります。

スクリーンショット 2022-07-18 11.11.42.png

  • コードにある脆弱性
  • Dockerfileで追加しているイメージやモジュールの脆弱性
  • 使っているライブラリ(今回はRailsなのでGemfile.lock)の脆弱性

を自動で検知してくれました。
Gemfile.lockの脆弱性を見てみます。

image.png

アプリケーションサーバーであるpumaのバージョンによる脆弱性とその中身(CVEとかのリンク)を教えてくれます。
今、v5.2.2使ってるから、4.3.12とか5.6.4使えばいいよって言ってくれてますね。
Fix this vulnerability ボタンを押すと、

image.png

image.png

こういうちゃんとしたPRを勝手に作ってくれます。

他にも、

image.png

configの中で、SSL強制してないよとか教えてくれます。
ここはなんかPR自動作成とかはないんですが、1文コメントアウトを外すだけなので自分で作れますね。

まとめ

無料なので、とりあえず導入しておけば良いかと思います!

CI/CDに組み込むこともできますし、脆弱性レベルによって挙動を変えることもできるらしいので、試してみると良いかと思います。(本当はこれに関する記事書こうと思ったけど、以下リンクと全く同じものになってしまうのでやめました。)
[GitHub Actions] Snyk Node Actionを使ってCI Workflow上で脆弱性のチェックをしてみた

14
5
2

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
14
5

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?