Snyk CLI を使用して端末でプロジェクトのセキュリティを確保する

Snyk CLI は、Snyk Code、Snyk Open Source、Snyk Container (Docker スキャンを含む)、Snyk IaC (Terraform と Kubernetes スキャンを含む) をサポートしています。 

Snyk CLI スキャンは、Java、JavaScript、Python、PHP、Ruby、.NET、Go、C/C++、Bazel、Elixir、Swift、TypeScript、Scala、Apex など多くの言語やツールをサポートしています。Snyk の言語および環境のサポートに関する詳細については、ドキュメントを参照してください。

Snyk CLI のインストールは npm、Homebrew、Scoop、またはGitHub から特定のバイナリをダウンロードして行います。

npm install snyk -g

brew tap snyk/tap && brew install snyk 

scoop bucket add snyk https://github.com/snyk/scoop-snyk

scoop install snyk

CLI をインストールしたら、Snyk のアカウントで認証する必要があります。snyk auth を呼び出すと、ブラウザーにより認証やサインアップができるページに転送されます。また、CI テストの場合は、SNYK_TOKEN という環境変数を作成することをお勧めします。

以下のコマンドを実行してプロジェクトの脆弱性をスキャンします。 

snyk test - オープンソースの脆弱性やライセンス問題をスキャンします。 

snyk code test - 静的コード解析によりコードの脆弱性をスキャンします。 

snyk container test -コンテナイメージの脆弱性をスキャンします。

snyk iac test -IaC の脆弱性や設定ミスをスキャンします。 

Snyk は、スキャン結果に対して、利用可能な修正アドバイスを提供します。snyk fix は、Python プロジェクト向けにベータ版として提供されており、推奨されるアップデートを自動的に適用します。

snyk ignore コマンドを実行して、その問題を無視するように .snyk ポリシーを変更します。 

snyk monitor コマンドでは、プロジェクトのスナップショットが取得され、結果が Snyk にアップロードされます。新しい脆弱性やプロジェクトに役立つ新しい修正が見つかった場合、お好みのチャネルでアラートとして通知が送信されます。

CI パイプラインでバイナリ―を直接ビルドする際に snyk test を実行すると、プロジェクトに脆弱性が含まれているかどうかが表示されます。必要に応じて、ビルドを失敗させて、脆弱性がさらに下流に導入されるのを防ぐこともできます。snyk monitorを実行すると、スナップショットを作成して、新しい脆弱性がないか経時的にモニタリングできます。Snyk CI/CD の導入オプションに関する詳細については、ドキュメントを参照してください。