LoginSignup
3
1

More than 1 year has passed since last update.

@moritalous

SnykでOSSプロジェクトの脆弱性をチェックしてOSS貢献?!

Posted at

Snykとは?

Snyk helps software-driven businesses develop fast and stay secure. Continuously find and fix vulnerabilities for npm, Maven, NuGet, RubyGems, PyPI and more.

翻訳

Snyk は、ソフトウェア駆動型ビジネスの迅速な開発と安全性の維持を支援します。npm、Maven、NuGet、RubyGems、PyPIなどの脆弱性を継続的に発見し、修正します。

使ってみた。🐶🐶🐶

初めて使ってみましたが、 超簡単 です。

ログイン後の画面🐶🐶🐶

app.snyk.io_org_moritalous_add(1280x720).png

GitHubを選択します。🐶🐶🐶

app.snyk.io_auth_github-upgrade_redirectUri=L29yZy9tb3JpdGFsb3VzL3NvdXJjZXMvOWEzZTVkOTAtYjc4Mi00NjhhLWEwNDItOWEyMDczNzM2ZjBi(1280x720).png

パブリックリポジトリが指定できるので、wordpressのリポジトリを指定してみました。🐶🐶🐶

app.snyk.io_org_moritalous_add_github-readonly(1280x720).png

こちらが結果です。WordPressには脆弱性は見つからないようです。さすがです

app.snyk.io_org_moritalous_projects(1280x720).png

CloudFormationテンプレートもチェックできる

IaCもチェックできるぞ ということなので、CloudFormationのテンプレートをチェックしてみました。題材はこちら。

こちらは 脆弱性が見つかりました

app.snyk.io_org_moritalous_projects(1280x720) (1).png

どんな指摘を受けているかというと

app.snyk.io_org_moritalous_project_36565b16-0de5-44f1-98c2-9152e9f71988(1280x720).png

暗号化しましょう。対処方法も提示してくれるのでとても便利です。

app.snyk.io_org_moritalous_project_36565b16-0de5-44f1-98c2-9152e9f71988(1280x720) (1).png

こちらはS3への指摘。

app.snyk.io_org_moritalous_project_cb0ec7f3-dbb9-4fb9-8a57-fcb627e7b605(1280x720).png

S3のパブリックアクセスを禁止しましょう。

OSS貢献への道

自分のリポジトリだけでなく、パブリックなリポジトリに対してもチェックができるので、Snykの指摘を対処するというOSS貢献ができるのではないでしょうか??先程のCloudFormationテンプレートはサンプルなので、あまり意味はないかもしれませんが、対応してプルリクすると、OSSに貢献できる気がします。今度やってみます。🐶🐶🐶

まとめ

指摘されたら対応できるんですが、対応できているかは自分でチェックするのはなかなか難しいです。その点で、Snykはとても有用なツール だと思います。🐶🐶🐶

3
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
3
1