<devzera

Aprendendo e compartilhando tecnologia

Snyk.io: Segurança de dependências

Automatizando a localização e a correção de vulnerabilidades em suas dependências

Aí você lança algo em produção e depois descobre que uma das suas dependências, na exata versão que você faz uso, possui uma falha de segurança severa. Você corre pra corrigir! Afinal, não é sempre que ficamos ligados nessas coisas.

E se houvesse um modo de automatizar essa busca de vulnerabilidades das dependências que usamos?

Ela existe.

O snyk.io foi me apresentado pelo brother Victor Haberkorn, após termos discutido sobre isso.

Snyk descrição do serviço

Ela possui integração com diversos serviços, como podemos ver abaixo:

Serviços que tem integração com o Snyk

Você importa seu repositório do Github — em sua versão gratuita, você pode até importar repositórios privados — , ele faz a verificação na periodicidade que você escolhe, e a cada PR criado ele aparece no check, garantindo que aquele PR não tem uma falha de segurança grave.

Verificação do Snyk no Github

Você também pode configurá-lo para receber noticações por email e até no Slack.

Ao importar e analisar seu repositório, será mostrado algo como a imagem abaixo:

Snyk dashboard

Esse meu repositório aparentemente não possui em suas dependências nenhum tipo de ameaça com os níveis:

  • High severity;
  • Medium severity;
  • Low severity.

Mas e se existisse. O que seria mostrado?

Snyk detalhe do projeto

Esse repositório possui várias dependências com vulnerabilidades dos mais diversos níveis de periculosidade. E para cada uma delas, uma descrição do problema e como resolvê-lo — O Snyk pode abrir um PR pra você fazendo isso, ou você pode deixar isso automático quando ele fizer a análise.

E por fim, o Snyk também fornece uma CLI com comandos bem legais:

  • snyk test— Escaneia suas dependências em busca de vulnerabilidades;
  • snyk wizard —Mostra cada uma das vulnerabilidades encontradas e pergunta como você deseja resolvê-la, podendo ignorá-la, corrigi-lá, ou atualizá-la;
  • snyk protect —Aplicará patches de acordo com as políticas definidas ao executar osnyk wizard.

Comentários