一、背景

在当下软件应用的开发过程当中，自研的外部代码所占的比例逐渐地缩小，开源的框架和共用库曾经失去了宽泛的援用。如下图所示，在一个 Kubernetes 部署的利用当中，咱们本人开发代码所占的比例可能连 0.1% 都不到。

开源软件可能帮忙开发者共享彼此的成绩，使得咱们可能疾速复用其他人开发并已失去验证的软件库，从而可能集中精力专一于创新性的工作。然而，开源软件的大量援用也给咱们的利用带来了安全隐患。平安检测已成为以后 DevOps 流程的重要组成部分。

二、你的利用平安吗

据不齐全统计，当初有 78% 的企业都在应用开源软件。然而，大家在享受开源软件带来的研发便当的同时，是否也意识到开源软件带来的安全隐患呢？

从上图的统计数据能够看出，只有 13% 的企业会把平安放在援用开源软件时的首要关注点。大部分的使用者抉择置信开源软件的发明和维护者会保障其安全性。然而，下图的统计数据表明，安全性并不是开源软件维护者的保护重点。

这样的现状导致咱们罕用的开源软件库蕴含了各种各样的安全漏洞，例如，据统计，目前 14% 的 NPM 包、30% 的 Docker Hub 镜像都蕴含安全漏洞。而且在这些破绽被发现之后，也得不到及时的修复。据统计，Maven 包里有 59% 的已知安全漏洞还没有失去修复，而破绽的均匀修复工夫是 290 天，最重大级别破绽的均匀修复工夫也仅是 265 天。黑客们已逐步把开源软件作为了次要的攻打指标。

该怎么样保障咱们上线利用的平安呢？

三、JFrog Xray，监测安全漏洞的利器

JFrog 公司提供的 Artifactory+Xray 是一个很好的产品组合。Artifactory 是全语言的制品仓库，可能在同一个仓库中存储和治理咱们利用研发中应用的所有内部依赖包。而 Xray 通过对 Artifactory 的监督，可能在构建，甚至开发阶段就发现安全漏洞问题，使得平安监测前置，防止了在利用上线前紧急排查问题的困境。

如上图所示，当 Artifactory 仓库中新退出了制品包，设置了对其监督的 Xray 就会启动安全检查，并报告查到的安全漏洞和 License 受权状况。而针对安全漏洞，Xray 会提供具体的破绽信息，以及在利用中的精确定位来辅助咱们对其进行剖析和查看。

同时，针对查出来的安全漏洞，Xray 还提供了针对其扩散范畴的剖析。也就是说，能够帮忙咱们剖析，出了被查看的这个制品包外，还有哪些其余的利用也蕴含了这个安全漏洞。

除了安全漏洞及其扩散范畴的剖析，Xray 还提供自定义问题的能力。咱们能够把用其余工具发现的平安问题，或者如性能过低、版本过老等非平安问题定义在对应的制品包上，同样也能够利用 Xray 的能力查看这些问题在咱们的利用中的扩散范畴。

四、Snyk, 不仅仅是监测破绽

JFrog Xray 是基于开源的 NVD 开源破绽数据库来监测安全漏洞的，而 Snyk（https://snyk.io）提供了额定的商业破绽数据库。Xray 能够通过和 Snyk 的集成，实现利用 Snyk 的商业破绽数据库进行安全漏洞查看。

当然，基于本身的商业破绽数据库，Snyk 也提供了安全漏洞的扫描和监测能力。Snyk 提供了与各种各样平台的集成，帮忙咱们监测部署在这些平台上的利用平安。

然而，Snyk 的能力不仅如此，他还能帮忙咱们修复安全漏洞。例如，当和咱们的 Github Enterprise 集成后，咱们能够抉择咱们须要监测的我的项目。

选定后，Snyk 就会主动扫描咱们的代码并报告在我的项目当中发现的安全漏洞。

Snyk 最大的特色是，针对这些安全漏洞，可能主动给出 PR（Pull Request）模式的修复倡议。PR 既能够针对所有发现的破绽，也能够只针对某一个具体的破绽。

间接 Merge 这些 PR 就能够帮忙咱们替换应用已修复安全漏洞的依赖包，实现安全隐患的主动打消。

五、总结

开源软件的大量援用，在不便了利用开发的同时，也带来了平安的隐患。利用 JFrog Xray 和 Snyk 等工具，可能帮忙咱们尽早地发现开源依赖引入的安全漏洞，剖析破绽的扩散范畴，也能够给出修复倡议，实现安全隐患的主动打消。

参考文献

· Xray and Snyk – Don’t just scan … Fix!

https://www.youtube.com/watch…

· JFrogXray 试用地址

http://www.jfrogchina.com/artifactory/free-trial/

欢送观看 JFrog 杰蛙每周二在线课堂，点击报名：

https://www.bagevent.com/even…