開發人員實際上生活在他們的集成開發環境(IDE)中。在大多數情況下,像 IDEA這樣的IDE 是開發人員幫助提高開發效率和創造性的重要工具。
Snyk最近進行的一項調查顯示,81%的受訪者認為開發者應該承擔其應用程序的安全責任。但是,許多開發人員不確定從哪里開始安全性。
實際上,大多數公司仍然與專門的安全團隊合作,該團隊執行公司范圍的審計,而不是將安全責任作為核心開發團隊的一部分。
:一種現代的安全方法
方法可幫助開發團隊創建代碼并對其在生產中的行為負責。此外,開發團隊還將安全視為日常工作的一部分。理想情況下idea添加依賴找不到,所有團隊成員都應具備安全專業知識并分擔安全責任。
為了在開發過程中測試安全性,開發人員應該為他們的持續職責添加基本工具和任務。在應用程序開發期間,開發人員總是在尋找可以幫助實現目標的庫和框架。如果庫可以處理某些樣板方面,開發人員可以專注于自定義業務邏輯。
唯一的問題是 - 如果pom文件中包含依賴項會發生什么?在許多主要的企業應用程序中,一旦pom文件中包含依賴項,它就會永久保留在文件中,即使代碼中不再使用依賴項也是如此。這些未使用的依賴項仍可在您的程序中使用,并且可能包含可利用的漏洞。總的來說,無論是否使用依賴項,開發人員都應該驗證是否可以安全地包含在他們的系統中。
向左移動安全
我們必須將易受攻擊的依賴項的安全性測試從右向左移動。這樣做,我們的測試將在我們將代碼提交到項目存儲庫之前進行。除了開發人員在生產之前運行的檢查之外,開發人員還應檢查依賴版本在首次引入時是否安全。通過在首次添加到代碼庫時掃描依賴關系,我們消除了在升級到較新版本時可能需要的不必要的代碼重寫。眾所周知,升級依賴項可能需要更改代碼。因此,最快速,最有效的方法是通過在添加依賴項時掃描依賴項來避免在項目中添加易受攻擊的依賴項。
使用Snyk測試您的依賴關系
在Snyk,我們可以為您提供工具來掃描您的項目是否存在易受攻擊的依賴項。我們將您的依賴項與我們自己的專有漏洞數據庫相匹配,該數據庫包括所有“常見漏洞和暴露”(CVE)列表等等。我們的安全團隊使用更多易受攻擊的依賴項來豐富Snyk漏洞數據庫,這些依賴項沒有關聯的CVE條目,但會對您的系統造成同樣的傷害。
如果您喜歡命令行工具,請在本地安裝Snyk CLI以從終端窗口運行。在 IDEA中或從單獨的終端使用CLI。這為您提供了有關依賴項中的安全漏洞所需的所有信息。但是,如果您更喜歡在IDE中使用完全集成的解決方案,我們可以為您提供幫助。
Snyk IDEA插件
根據2018年JVM生態系統調查, IDEA是Java社區中最常用的IDE,45%的受訪者表示他們使用 IDEA。
Snyk提供了一個集成的插件,適用于 IDEA社區和付費產品。此插件會在您編碼時掃描您的Maven依賴項中的漏洞。無需再使用終端。
安裝插件很簡單。轉到首選項>插件并搜索“Snyk”。從該視圖彈出Snyk漏洞掃描插件。按照說明進行操作即可。
Snyk插件位于屏幕右下角的標簽中。刷新Maven依賴項以運行掃描并查看是否存在易受攻擊的依賴項。
如果存在漏洞,請單擊詳細信息以查看Snyk漏洞頁面。此頁面提供了有關問題性質的更多信息,并顯示嚴重性分數。
更令人印象深刻的是當您對漏洞具有傳遞依賴性時。該插件逐步顯示完整的依賴關系樹,包括直接依賴關系和易受影響的傳遞依賴關系。
單擊漏洞以自動跳轉到pom文件依賴關系聲明。當你的pom文件有很多依賴項時idea添加依賴找不到,這非常有用。現在,您可以選擇升級直接依賴關系,也可以排除易受攻擊的傳遞依賴關系。
Snyk插件還提供建議的升級(如果有)。這以綠色顯示。該版本不一定是該依賴項的最新版本,但它是第一個解決特定漏洞的可用版本。單擊綠色補救建議時,將顯示建議的依賴關系樹,直到特定的固定傳遞依賴關系。
PMD,和的插件可以幫助您編寫更好的代碼。使用Snyk插件可以立即查看您引入的依賴項是否存在一個或多個漏洞。
IDEA的Snyk插件是一個強大的附加功能,可幫助您避免使用易受攻擊的依賴項。使用Snyk,您可以編寫更好,更安全的軟件,而無需離開您喜歡的IDE。