问题标签 [snyk]

从他们的网页上针对 Github 存储库运行 Snyk，在 pom.xml 文件中发现 7 个高严重性问题。

我已经将 Jenkins 配置为使用 Snyk 插件针对同一个项目运行，但只需得到：

Snyk 安装是针对已知问题的最新测试...

/var/lib/jenkins/tools/io.snyk.jenkins.tools.SnykInstallation/synk-tool/snyk-linux test --json --severity-threshold=low 结果：0 个已知问题 | 没有已知漏洞 记住项目以进行持续监控... /var/lib/jenkins/tools/io.snyk.jenkins.tools.SnykInstallation/synk-tool/snyk-linux monitor --json --severity-threshold=low 归档工件构建步骤“调用 Snyk 安全任务”将构建结果更改为成功

Synk 插件使用来自 snyk.io 页面的令牌，并在 Jenkins 中使用所有默认值进行配置。

snyk向导文档建议snyk protect作为安装后步骤添加到您的项目中。你到底是怎么做到的？我在这里参考了整个package.json文档，但找不到对安装后关键字的任何参考。

运行 npm install 进行部署，我收到以下错误

日志文件包含以下日志

需要一些见解，它一周前工作正常，我也没有更改 package.json。

我用“npm i -g snyk”安装了 Snyk。它已成功安装。

但是我无法在终端中使用“snyk auth”进行身份验证。它显示一条错误消息，提示找不到命令“snyk”。

如何在终端中使用 snyk 命令？

谢谢！

我正在尝试在 Azure Pipeline (Classic) 中使用 Snyk 安全扫描任务。我的应用程序运行时是 .Net 和框架是 ASP.Net 4.4.1 。没有关于身份验证的问题，因为我创建了 Snyk 的有效服务连接。

当我运行我的管道时，它给出错误“无法检测 D:\a\1\s 中支持的目标文件”。

Snyk 安全扫描任务失败的日志：

##[调试]调试=未定义

##[debug]task result: Failed ** 我们有问题！:( ** ##[error]尝试执行进程'C:\Program Files\nodejs\npm.cmd'时出错。这可能表明进程无法启动。错误：spawn C:\windows\ system32\cmd.exe ENOENT ##[debug]Processed: ##vso[task.issue type=error;]尝试执行进程“C:\Program Files\nodejs\npm.cmd”时出错。这个可能表示进程启动失败。错误：spawn C:\windows\system32\cmd.exe ENOENT

尝试执行进程“C:\Program Files\nodejs\npm.cmd”时出错。这可能表明进程无法启动。错误：spawn C:\windows\system32\cmd.exe ENOENT ##[debug]Processed:##vso[task.complete result=Failed;]尝试执行进程 'C:\Program Files\ 时出错nodejs\npm.cmd'。这可能表明进程无法启动。错误：生成 C:\windows\system32\cmd.exe ENOENT

项目根目录：C:\src\repos\test\abc

例如，这是我试图忽略的 Snyk issueId。命令运行良好，并且在项目根目录中创建了 .snyk YAML 文件。

然后我对提供相对路径的 requirements.txt 文件执行 snyk 测试，然后检查 results1.json 确实确认它成功忽略了这个特定的 issueID

但是当我提供文件的绝对路径，并且 .snyk 文件仍然存在于项目根目录中时，snyk 测试命令运行良好，但在检查 results2.json 时，它无法忽略该问题，它被列为脆弱性。

有人可以解释为什么这不适用于给定的案例吗？

我需要 snyk ignore 来处理绝对文件路径，因为这是问题的要求。

下面是 maven 的 snyk 插件设置。我已经在 pom.xml 中设置了插件。我在管道中配置了 Maven 设置。以下配置有一个秘密 API_TOKEN。在除默认管道文件之外的任何文件中将 API_TOKEN 设置为变量都不起作用。所以我正在探索一些在管道文件中设置和运行插件的方法，即在 mvn 命令行中访问和运行插件，例如 mvn my-plugin:my-goal -Dplugin.property=ABC。

但我不确定如何调用 snyk 插件并在构建/安装/部署命令期间运行。

我已经在我的 IntelliJ IDE 上安装了 snyk 漏洞分析插件，但是当我尝试运行分析时，它给了我如下错误：

虽然我知道它要求我为我的 snyk 服务器提供一些身份验证凭据，但我无法理解在 IDE 中的何处提供它。我试图查看是否可以找到任何选项来从 IDE 工具栏设置 snyk 身份验证，但我找不到任何选项。有谁知道如何解决这个问题？

I was able to run the iac scanner via snyk using these commands:

I tried to wrapped those commands into one bash script using this format

However I always got this result from terminal = /usr/bin/env: node: No such file or directory and looking to a package.json Sample output when executing the wrapper script below:

PS: I also tried the suggested solutions I found on other articles like creating sym link on nodejs and node but that is not applicable cause I already have node on my box. I still have limited knowledge in npm/node. My goal is to make the scanning work

我已经将 snyk 与我的使用 npm 的 github 存储库集成，它是一个很好的免费工具来检测存储库中的漏洞，但我不断收到有关更新的电子邮件，package.json以及作为不重要依赖项中的补丁版本更新的简单事情。

只要通过测试，snyk 帐户是否有可能不仅自动打开 Pull Requests，还可以在没有我干预的情况下合并它们？