本文目录


    PyCharm的开源依赖项安全检测插件——Snyk

    使用新插件 Snyk 在 PyCharm 中查找和修复 Python 漏洞

    Snyk 提供了开发人员优先的开源安全解决方案,现在展示其新的 PyCharm 插件,以帮助 Python 开发人员轻松测试其开源依赖项是否存在安全问题。

    很高兴的通知 PyCharm 用户,现在有一个新的 Snyk 插件可用,它使 Python 开发人员可以从自己喜欢的 IDE 中找到并修复其开源依赖项中的安全漏洞!

    “Shift left” 是 DevSecOps 的重要组成部分,但不能保证其安全性。确保开发人员能够成功承担更多安全性责任的唯一方法是为开发人员提供易于开发的工具,并将其无缝集成到现有工作流程中。

    Snyk 是 PyCharm 中最受欢迎的 Python 开发 IDE(根据 JetBrains 2020 开发者生态系统调查,PyCharm 专业版和社区版的合并份额为 54%),Snyk 希望确保 Python 开发人员能够轻松测试其开源代码安全问题的依赖性,新插件是 PyCharm 的唯一的 SCA 插件,可以实现这一功能。

    Snyk PyCharm 插件是免费使用的,可以在 Jetbrains market 中找到

    入门

    要使用该插件,请先在此处免费注册 Snyk 。另外,请确保已安装 Python 依赖项。

    就像其他任何插件一样,安装插件本身很容易。在 PyCharm 中,转到首 Preferences → Plugins 然后搜索 “Snyk”。将显示 Snyk 插件,您只需按照说明进行操作即可。

    点击 “ 安装” 按钮– PyCharm 下载并安装最新版本的 Snyk CLI,新的 Snyk 选项卡显示在 PyCharm 的底部。

    在开始第一次扫描之前,请确保对您的 Snyk 帐户进行身份验证。为此,只需从 Snyk 中检索您的 API 令牌并将其添加到插件的设置中,即可:Preferences → Tools → Snyk:

    成功通过身份验证后,打开 Snyk 选项卡并单击 “Scan” 按钮以开始 Snyk 的安全测试。在几秒钟内,如果插件识别出任何漏洞,将显示问题列表:

    扫描结果包含大量信息,有助于快速修复,包括漏洞的严重性级别(基于 CVSS)和漏洞的标题 / 类型。有关

    在补救方面,Snyk 插件将通过建议所需的升级来帮助您修复漏洞。Snyk 将始终建议解决特定问题所花的最少成本,以确保将损坏的风险降到最低。

    单击问题详细信息底部的 details 链接,将带您进入 Snyk 的漏洞数据库,您可以在其中获取有关漏洞本身的更深入的详细信息 - 严重性评分,版本范围,利用方式等。

    左右移动

    使用开源时,检查引入的风险很重要。测试您放入 Python 项目中的开源依赖项是否存在安全问题,对于确保您不牺牲组织的安全状态进行快速开发至关重要。

    将此测试移到 IDE 中可以使您在开发的早期甚至在将代码提交到存储库之前就可以发现问题。不必在以后的软件交付管道中找到严重的漏洞,而不必在代码变得更加耗时且技术上困难时重新设计代码,而是从添加依赖的那一刻开始测试依赖项就更加高效和高效。

    在我们现有的 IntelliJ 和 TeamCity 插件之外,此新的 PyCharm 插件是帮助 JetBrains 社区开发人员向正确方向左移开源安全性的又一步。

    原文地址 ppfocus.com