Tema: Utilizando um cão de guarda para farejar vulnerabilidades em dependências open source
Qual é o papel de uma ferramenta de SCA (Software Composition Analysis)?
Uma ferramenta SCA permite que você ganhe visibilidade de componentes de código aberto para que você possa gerenciar e mitigar quaisquer problemas de segurança, licença ou conformidade.
Como ele analisa?
O Cloud One Open Source Security by Snyk analisa o arquivo de manifesto da aplicação listando todas as vulnerabilidades e licenças utilizandas na criação do software informando se existe um risco, qual a criticidade da falha de segurança e se existe um código malicoso que pode explorar a vulnerabilidade.
Por que isso é importante?
-
Ajuda na priorizeção e remediação fornecendo alertas críticos para ajudar os desenvolvedores a corrigir problemas rapidamente, sem interrupção dos fluxos de trabalho.
-
Fornece relatórios abrangentes sobre riscos de código aberto em aplicativos monotilicos e microsserviços, como bibliotecas desatualizadas ou descontinuadas além de informações sobre o a licença de uso;
O Cloud One possui um módulo chamado Open Security by Snyk que usaremos nessa demo e ele é quem faz o papel de SCA.
-
Uma conta no Trend Micro Cloud One
-
É cliente AWS? Pode criar a conta no Cloud One via AWS Marketplace
Após criar a conta seja via AWS Marketplace ou da forma tradicional, acesse a connsole com as credenciais criadas por você.
Iremos anaisar dois projetos de formas diferentes :)
1º Projeto via Snyk cli
$ git clone https://github.com/SecurityForCloudBuilders/Protect-a-Vulnerable-WebApplication
$ cd HeadPage-Demo-App-Protect-RASP
Na console do Cloud One, clique em Open Source Security by Snyk > Integrations > CLI > Instale os pacotes conforme seu ambiente
$ snyk test (resultados nos shell)
$ snyk monitor (link com resultado do scan na console)
Resultado esperado do comando "snyk test"
2º Importando projetos do Github
Acess a console do Cloud One, clique em Open Source Security by Snyk
Selecione Github > forneça acessos a repos publicos/privados ou somente públicos > autorize para acessar o repo > selecione o projeto que deseja analisar :)
Construir um software não é para qualquer um principalmente lidando com várias equipes e pessoas com temperamentos diferentes!
Tão breve conseguirmos resolver problemas relacionados a segurança mais estável e menos paradas emergenciais teremos em nossa aplicação.
Mais informações sobre como como desenvolver de forma segurança clica aqui
Ficou com dúvida? Só dar um toque :)