iT邦幫忙

2022 iThome 鐵人賽

DAY 2
0

有些套件版本年代久遠,作者也沒有在維護了,如果拿這個套件接專案真的OK嗎?
在開始認真理解 pure-admin 之前,今天就來找一款工具幫助我們掃描專案依賴的套件是否有安全問題

如何使用?

synk
官網: https://app.snyk.io/login

1. 先註冊一個帳號

可選擇 Google or Github

2. Dashboard 頁面有教學使用

教學

3.跟著教學一步一步來,先用VScode開啟專案,開啟終端機

npm install -g snyk
snyk auth

指令
驗證會開啟驗證網頁,點按鈕給予授權
驗證

4.開始執行掃描

snyk monitor

掃描後會得到一個連結,前往連結查看掃描結果

Monitoring C:\Users\YUAN\Documents\ithome\pure-admin-thin (pure-admin-thin)...

Explore this snapshot at https://app.snyk.io/org/dpes8693/project/34d6f853-4397-4c2f-90fb-a00f473d6214/history/37a6cc86-6080-4a07-a4f2-89b39dbdb904

Notifications about newly disclosed issues related to these dependencies will be emailed to you.

5.查看結果

點開該網址往下滾
Dependencies分頁會看到所有套件的列表
查看結果

C,H,M,L分別代表

  • Critical 嚴重
  • High 高風險
  • Medium 中風險
  • Low 低風險

都沒有出現風險,太好了! (P.S 沒有出現並不代表100%安全,說不定只是沒被發現漏洞而已)


找一個有問題的例子

Google關鍵字: angular snyk
或是到這邊搜尋 https://snyk.io/advisor/

舉有名的Angular為例子
https://snyk.io/advisor/npm-package/angular
Angular
可以看到以前版本的Angular有出現高風險的紀錄
點進去可以看到問題的介紹


總結

越多人用的套件or框架越容易被發現問題,未來如果團隊要導入某些套件除了參考Github星星和Issue數量之外,不妨可慮一下這個工具看一下歷史版本是否被掃描出問題!後續版本有沒有修正...等等資訊

想知道更多

Synk 非常強大,可以整合很多自動化(CI/CD)檢查
這部分就請有興趣的讀者到官方查看

值得一看的文章:
https://www.frank.hk/blog/snyk


上一篇
第一天 我存在 第一次把專案跑起來真暢快
下一篇
第三天 抬頭觀察 由外至內 由淺入深 反覆觀察
系列文
教練我想做一個後台管理系統,阿我忘記我只有一個人沒有教練,那用試著以vue-pure-admin為基底做做看31
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言