问题标签 [snyk]

问问题

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

29 问题
Newest
Active
Bountied
318
Unanswered
0 投票
1 回答
153 浏览

npm - 如何解决 Yarn.lock 中开发依赖项的特定依赖项

尝试安装 dev 依赖项,但其依赖项之一是lodash: 4.17.20. 当 Snyk 扫描我的依赖项时,它会将这个依赖项标记为高安全漏洞。

我们如何才能让这个开发依赖项尝试解决开发依赖项的不同版本lodash并通过 Snyk 测试?

正在考虑在yarn.lock文件中,它需要以某种方式解决lodash此开发依赖项的更高版本,所以我参考了https://classic.yarnpkg.com/en/docs/selective-version-resolutions/

做我package.json喜欢的事

或者

似乎它还没有完全起作用,并且 Yarn.lock 还没有更新该lodash开发依赖项的依赖项。想看看这是否可以在不yarn.lock手动更新的情况下进行,因为我可以看到它将来会被重新覆盖。这是在 Lerna monorepo 中完成的。

0 投票
1 回答
373 浏览

node.js - Snyk 抱怨包锁中缺少 fsevents,但 fsevents 不是必需的,并且 snyk 忽略了 --strict-out-of-sync=false

今天无法在我的任何项目上运行 snyk,到处都出现相同的错误。

snyk test --strict-out-of-sync=false结果是:

npm install 并且npm install什么npm i --package-lock-only也不做

FSEvents 甚至不是 package.json 中的要求

package.json 的相关部分:

0 投票
1 回答
765 浏览

snyk - Snyk 测试返回 Failed to test pip 项目错误

我正在使用Snyk CLI为 python 项目运行安全扫描。不幸的是,snyk test命令返回Failed to test pip project错误。我错过了什么,snyk test在扫描项目时工作得很好npm

0 投票
0 回答
22 浏览

node.js - 使用 npx 运行包时访问 node_modules 中的文件

背景:我正在尝试使用将 JSON 报告转换为可读 HTML 的包(snyk-to-html)。此 HTML 生成有多个模板可用于自定义输出。

问题:这些模板位于包本身的目录中,我正在使用“npx”运行包,因此不会生成“node_modules”。npx 有什么方法/配置可以帮助访问这些模板吗?我需要在cli参数中提到这个模板的路径。

0 投票
1 回答
70 浏览

security - 如何在托管的 gitlab 上使用 snyk

我已经尝试过 Dependabot,但无济于事。Snyk 看起来很有希望,但我们的代码在 gitlab 的托管实例上,有人知道我如何调整以下链接中的步骤,告诉 snyk 它必须使用我们的 gitlab 托管实例,并提供个人访问令牌?

如果做不到这一点,另一个不同的工具推荐会很有帮助。

https://snyk.io/gitlab/

0 投票
1 回答
75 浏览

podman - 来自私有存储库的 snyk 容器测试

我正在尝试将 snyk 与使用 podman 管理的私有托管存储库一起使用。

snyk container test --username="user" --password="pass" --platform="linux/arm64" oci.example.com/image -d

我也尝试过使用oci.example.com/image:latest oci.example.com/image:arm64并确保它们存在于存储库中。

我不断收到的错误是: snyk-test error: FailedToRunTestError: OCI manifest found, but accept header does not support OCI manifests

我可以直接使用 API 重现相同的错误: curl -u 'user:pass' -i -H "Accept: application/vnd.docker.distribution.manifest.v2+json" https://oci.example.com/v2/mailpile/image/latest

这虽然有效: curl -u 'user:pass' -i -H "Accept: application/vnd.oci.image.manifest.v1+json" https://oci.example.com/v2/[IMAGE]/manifests/latest

我想知道我错过了什么。也许 snyk 依赖于一个podman push oci.example.com/image似乎没有提供的 distribution.manifest,阅读后怀疑:https Due to the way image-name references are internally processed, you should not use the usual podman push and podman rmi subcommands. THEY WILL NOT DO WHAT YOU EXPECT! Instead, you’ll want to use podman manifest push --all <src> <dest> and podman manifest rm <name> (similarly for buildah). These will push/remove the manifest list itself instead of the contents. Similarly for tagging if you’re on Podman v3.4, use the buildah tag command instead. ://podman.io/blogs/2021/10/11/multiarch.html 我也验证了这个偷看manifest inspect,确实它似乎只是默认情况下附加图像并且没有distribution.manifest。

OpenSUSE Debian Podman repo 最新版本:

从文章中The podman tag command is broken for manifest lists in v3.4, but works in Buildah v1.23.1.我不完全确定这意味着什么以及这如何影响我的情况。

所以我试着按照上面的文章:

然后运行 snyk container test --username="user" --password="pass" --platform="linux/arm64" oci.example.com/image -d

仍然得到同样的错误: snyk-test error: FailedToRunTestError: OCI manifest found, but accept header does not support OCI manifests 如果我尝试同样的问题:arm64

但尝试:latest标记。 snyk container test --username="user" --password="pass" --platform="linux/arm64" oci.example.com/image:latest -d snyk-test error: FailedToRunTestError: Cannot read property 'digest' of undefined

我试图从注册表中删除图像并重新开始: curl -u 'user:pass' -i -H "Accept: application/vnd.oci.image.manifest.v1+json" https://oci.example.com/v2/image/manifests/latest

curl -u "user:pass" -X "DELETE" https://oci.example.com/v2/image/manifests/sha256:1298754b84f5fa37425cd5c2ccc4eb7a1f70433611ad430e467d8e8d52caeced

..但总是得到类似的结果。

0 投票
0 回答
43 浏览

amazon-web-services - 使用 CloudFormation 将 Snyk 操作添加到 CodePipeline

我想通过 CloudFormation 使用 Snyk Scan 操作在 AWS 上启动 CodePipeline。关于如何做到这一点的官方文档对细节有一点了解,似乎缺少关键信息,所以我希望有人能对这个问题有所了解。根据Snyk 动作参考,只有几个变量需要配置,所以我按照以下配置设置了我的 CodePipeline CF 模板,

但是,尚不清楚 CodePipeline 如何仅使用此配置向 Snyk 进行身份验证。果然,当我尝试启动此模板时,我通过 CloudFormation 控制台收到以下错误,

在这种情况下,我不确定ClientId是什么,但我认为它是Snyk ORG id。因此,我在模板的配置部分下添加了ClientId 。当我启动新模板时,出现以下错误,

同样,AWS 方面没有关于这个ClientToken是什么的文档(我可以找到),但我认为它是一个Snyk API token,所以我继续添加它。我的最终模板看起来像,

CloudFormation 现在可以正常运行并且没有错误,但是 CodePipeline 本身在Scan阶段停止,停顿了十分钟左右,然后输出一个错误,它不会给你太多信息,

我假设我没有正确使用 Snyk 进行身份验证。我可以通过控制台很好地设置扫描,但这包括一个 OAuth 页面,我在其中输入我的用户名/密码,然后 Snyk 才能授权 AWS。无论如何,我需要能够通过 CloudFormation 设置扫描,因为我正在处理的项目没有控制台。

我正在寻找涵盖此用例的解决方案和/或一些文档。如果有人能指出我正确的方向,我将不胜感激。

0 投票
0 回答
39 浏览

bitbucket - Snyk 如何在自动拉取请求上设置审阅者(Bitbucket Cloud)

我正在使用 Snyk Bitbucket Cloud 集成。有没有办法在自动拉取请求(Bitbucket Cloud)上添加一组审阅者。此时,在没有审阅者的情况下创建拉取请求。谢谢!!!

0 投票
0 回答
35 浏览

java - 如何配置 snyk 抑制文件位置?

我的公司在父项目中有一个包含误报漏洞的抑制文件。我想让子项目使用相同的抑制文件,而不必将其复制到每个子项目中。对于 OWASP 抑制,我们可以简单地将其添加到父 pom 的属性中:

snyk有类似的解决方案吗?我可以做些什么来让我的子项目使用父项目中的抑制文件?

0 投票
1 回答
3021 浏览

docker - 码头扫描- 获取 DockerScanID 失败:错误状态代码“400 Bad Request”

我正在尝试运行

但它失败并出现错误

笔记:

  • 我已登录 hub.docker.com
    在此处输入图像描述
  • 我在 docker 中创建了一个令牌,我在 snyk.com 中使用它

我可能还想念别的东西……有什么线索吗?谢谢


12345678910