Snykとは?
Snyk helps software-driven businesses develop fast and stay secure. Continuously find and fix vulnerabilities for npm, Maven, NuGet, RubyGems, PyPI and more.
翻訳
Snyk は、ソフトウェア駆動型ビジネスの迅速な開発と安全性の維持を支援します。npm、Maven、NuGet、RubyGems、PyPIなどの脆弱性を継続的に発見し、修正します。
使ってみた。🐶🐶🐶
初めて使ってみましたが、 超簡単 です。
ログイン後の画面🐶🐶🐶
GitHubを選択します。🐶🐶🐶
パブリックリポジトリが指定できるので、wordpressのリポジトリを指定してみました。🐶🐶🐶
こちらが結果です。WordPressには脆弱性は見つからないようです。さすがです
CloudFormationテンプレートもチェックできる
IaCもチェックできるぞ ということなので、CloudFormationのテンプレートをチェックしてみました。題材はこちら。
こちらは 脆弱性が見つかりました 。
どんな指摘を受けているかというと
暗号化しましょう。対処方法も提示してくれるのでとても便利です。
こちらはS3への指摘。
S3のパブリックアクセスを禁止しましょう。
OSS貢献への道
自分のリポジトリだけでなく、パブリックなリポジトリに対してもチェックができるので、Snykの指摘を対処するというOSS貢献ができるのではないでしょうか??先程のCloudFormationテンプレートはサンプルなので、あまり意味はないかもしれませんが、対応してプルリクすると、OSSに貢献できる気がします。今度やってみます。🐶🐶🐶
まとめ
指摘されたら対応できるんですが、対応できているかは自分でチェックするのはなかなか難しいです。その点で、Snykはとても有用なツール だと思います。🐶🐶🐶