如何用Xray和Synk保駕護航

如何用Xray和Synk保駕護航，相信很多沒有經驗的人對此束手無策，為此本文總結了問題出現的原因和解決方法，通過這篇文章希望你能解決這個問題。

一、背景

在當下軟件應用的開發過程當中，自研的內部代碼所占的比例逐步地減少，開源的框架和共用庫已經得到了廣泛的引用。如下圖所示，在一個Kubernetes部署的應用當中，我們自己開發代碼所占的比例可能連0.1%都不到。

開源軟件能夠幫助開發者共享彼此的成果，使得我們能夠快速復用其他人開發并已得到驗證的軟件庫，從而能夠集中精力專注于創新性的工作。然而，開源軟件的大量引用也給我們的應用帶來了安全隱患。安全檢測已成為當前DevOps流程的重要組成部分。

二、你的應用安全嗎

據不完全統計，現在有78%的企業都在使用開源軟件。但是，大家在享受開源軟件帶來的研發便利的同時，是否也意識到開源軟件帶來的安全隱患呢？

從上圖的統計數據可以看出，只有13%的企業會把安全放在引用開源軟件時的首要關注點。大部分的使用者選擇相信開源軟件的創造和維護者會保證其安全性。然而，下圖的統計數據表明，安全性并不是開源軟件維護者的維護重點。

這樣的現狀導致我們常用的開源軟件庫包含了各種各樣的安全漏洞，例如，據統計，目前14%的NPM包、30%的Docker Hub鏡像都包含安全漏洞。而且在這些漏洞被發現之后，也得不到及時的修復。據統計，Maven包里有59%的已知安全漏洞還沒有得到修復，而漏洞的平均修復時間是290天，最嚴重級別漏洞的平均修復時間也僅是265天。黑客們已逐漸把開源軟件作為了主要的攻擊目標。

該怎么樣保證我們上線應用的安全呢？

三、JFrog Xray，監測安全漏洞的利器

JFrog公司提供的Artifactory+Xray是一個很好的產品組合。Artifactory是全語言的制品倉庫，能夠在同一個倉庫中存儲和管理我們應用研發中使用的所有外部依賴包。而Xray通過對Artifactory的監視，能夠在構建，甚至開發階段就發現安全漏洞問題，使得安全監測前置，避免了在應用上線前緊急排查問題的窘境。

如上圖所示，當Artifactory倉庫中新加入了制品包，設置了對其監視的Xray就會啟動安全檢查，并報告查到的安全漏洞和License授 權情況。而針對安全漏洞，Xray會提供詳細的漏洞信息，以及在應用中的準確定位來輔助我們對其進行分析和檢查。

同時，針對查出來的安全漏洞，Xray還提供了針對其擴散范圍的分析。也就是說，可以幫助我們分析，出了被檢查的這個制品包外，還有哪些其他的應用也包含了這個安全漏洞。

除了安全漏洞及其擴散范圍的分析，Xray還提供自定義問題的能力。我們可以把用其他工具發現的安全問題，或者如性能過低、版本過老等非安全問題定義在對應的制品包上，同樣也可以利用Xray的能力檢查這些問題在我們的應用中的擴散范圍。

四、Snyk, 不僅僅是監測漏洞

JFrog Xray是基于開源的NVD開源漏洞數據庫來監測安全漏洞的，而Snyk（https://snyk.io）提供了額外的商業漏洞數據庫。Xray可以通過和Snyk的集成，實現利用Snyk的商業漏洞數據庫進行安全漏洞檢查。

當然，基于自身的商業漏洞數據庫，Snyk也提供了安全漏洞的掃描和監測能力。Snyk提供了與各種各樣平臺的集成，幫助我們監測部署在這些平臺上的應用安全。

然而，Snyk的能力不僅如此，他還能幫助我們修復安全漏洞。例如，當和我們的Github Enterprise集成后，我們可以選擇我們需要監測的項目。

選定后，Snyk就會自動掃描我們的代碼并報告在項目當中發現的安全漏洞。

Snyk最大的特色是，針對這些安全漏洞，能夠自動給出PR（Pull Request）形式的修復建議。PR既可以針對所有發現的漏洞，也可以只針對某一個具體的漏洞。

直接Merge這些PR就可以幫助我們替換使用已修復安全漏洞的依賴包，實現安全隱患的自動消除。

開源軟件的大量引用，在方便了應用開發的同時，也帶來了安全的隱患。利用JFrog Xray和Snyk等工具，能夠幫助我們盡早地發現開源依賴引入的安全漏洞，分析漏洞的擴散范圍，也可以給出修復建議，實現安全隱患的自動消除。

看完上述內容，你們掌握如何用Xray和Synk保駕護航的方法了嗎？如果還想學到更多技能或想了解更多相關內容，歡迎關注億速云行業資訊頻道，感謝各位的閱讀！