问题标签 [snyk]

你好 StackOverflowians。

我目前正在尝试在我的 GitHub Actions 工作流程中的 Node 项目中设置 Snyk。这个想法是运行两个工作：

1. 根据他们的文档（在此处找到）的 Snyk 安全门，例如保持简单的第一个示例。
2. 构建和推送作业（按预期工作）

但是，当尝试运行第一个作业时，它在“运行 Snyk 以检查漏洞”步骤期间失败并显示以下日志：

最后一部分Dependency bindings was not found in undefined. Your package.json and undefined are probably out of sync. Please run "undefined" and try again.是我不明白它如何帮助我调试的部分。

这是已知解决方案的已知问题吗？如果没有，我该如何找到 undefined 所指的内容？

提前谢谢你，拉乌尔

我有一个私人 docker 注册表，我正在寻找一种工具来扫描我的图像上的漏洞。我的大多数图像都是 Windows 图像，因此我需要一个支持它的工具。

我试图查看，docker scan但似乎它取决于snyk并且据我所知snyk不支持 Windows 图像。

我们最近在我们的 github 项目中集成了Snyk ，并且 Snyk 有一个很酷的功能来“打开一个修复 PR ”，它可以直接修复这个漏洞...... PR 已打开，但我们的 CI/CD 管道需要一个DCO，即提交signoffs ... 但是，Snyk 没有签署提交，我也无法在文档中找到启用它的选项。

对于参考 PR，请查看Kubearmor PR#542。

我需要对 Snyk 和 Sonarcloud/Sonarqube 的特性和功能进行比较，我唯一能找到的是速度比较：

https://snyk.io/blog/sast-tools-speed-comparison-snyk-code-sonarqube-lgtm/

....有谁知道两者之间是否有任何特性和功能的比较？如果是这样，请你告诉我在哪里看？

非常感谢您对此的任何帮助。

SNYK 是一个开源安全平台，用于找出应用程序源代码中的漏洞。

因为我得到了以下 2 个与许可证相关的问题。

我尝试升级这两个依赖项的版本，但没有解决。任何人都可以让我们知道如何摆脱这些 snyk 问题

✗ CC0-1.0 许可证（新）[中等严重性] [https://snyk.io/vuln/snyk:lic:maven:org.reactivestreams:reactive-streams:CC0-1.0] 在 org.reactivestreams:reactive-streams@ 1.0.3 6308 引入 io.lettuce:lettuce-core@6.1.5.RELEASE > io.projectreactor:reactor-core@3.4.11 > org.reactivestreams:reactive-streams@1.0.3

✗ CC0-1.0 许可证（新）[中等严重性] [https://snyk.io/vuln/snyk:lic:maven:org.latencyutils:LatencyUtils:CC0-1.0] 在 org.latencyutils:LatencyUtils@2.0.3 6311由 io.micrometer:micrometer-core@1.7.5 > org.latencyutils:LatencyUtils@2.0.3 介绍

我正在尝试修复 Snyk 工具在我的程序中发现的一些漏洞，但其中一些来自我正在使用的库（如 Apache 的 Pulsar）。例如，Pulsar 正在使用 2.8.6 版本的 gson，根据 Snyk 的说法，它是易受攻击的，下一个安全版本是 2.8.9。是否可以强制我使用的所有库使用 gson 2.8.9 版（通过 gradle）？或者不是因为这是一个非常愚蠢的想法，容易出现意外行为？

谢谢

我正在尝试为 gitlab 私有实例设置 Snyk 代理，并且代理应该在 docker 容器中运行。docker run --restart=always
-p 8000:8000
-e BROKER_TOKEN=secret-broker-token
-e GITLAB_TOKEN=secret-gitlab-token
-e GITLAB=your.gitlab.domain.com
-e BROKER_CLIENT_URL=http://my .broker.client:8000
-e PORT=8000
snyk/broker:gitlab

这里 BROKER_CLIENT_URL 是什么

更新到 gradle 7.3.2 后，我遇到了这个问题：

• 出了什么问题：任务“：bps-ips-bridge-core:snykResolvedDepsJson”执行失败。

未找到匹配配置：^(runtimeOnly|implementation)$，项目项目“：myProject”的可用配置：[annotationProcessor, api, apiElements, archives, bootArchives, checkstyle, compileClasspath, compileOnly, compileOnlyApi, default, developmentOnly, implementation, jacocoAgent, jacocoAnt，productionRuntimeClasspath，provided，providedCompile，providedRuntime，runtimeClasspath，runtimeElements，runtimeOnly，签名，testAnnotationProcessor，testCompileClasspath，testCompileOnly，testImplementation，testRuntimeClasspath，testRuntimeOnly]

这是 Jenkinsfile 中的 snyk 阶段的样子：

之前更新gradle之前是这样的：--configuration-matching=^(runtime|compile)

问题是什么以及如何解决？

在 CodePipeline 中，我可以在 CodePipeline 控制台中为我的管道创建一个“Snyk”扫描操作，但我需要在 CDK 中生成它。

我找到了结构参考： https ://docs.aws.amazon.com/codepipeline/latest/userguide/action-reference-Snyk.html

然而@aws-cdk/aws-codepipeline-actions 似乎没有创建我能够在控制台中创建的操作的方法。

我创建了一个 CodeBuild 操作，它将下载和安装 snyk 并通过命令运行扫描，但我真的希望我可以使用“Snyk”特定操作。

有没有人遇到过这个？