虽然Code Insights和Snyk Pipes中的PR分析现在就可以使用,但我们正在Bitbucket Cloud中推出一个本地安全标签。这将在6月底向所有客户提供,所以请在左侧导航中留意它。我们期待着您的反馈。
即使是小的漏洞也会让一个团队损失惨重。 我们经常看到一些新闻报道,说一些组织对其代码和构建级别的安全处理不当,导致客户数据被暴露。这些错误的大量宣传证明了安全问题在DevOps世界中已经成为赌注。
今天,团队需要在不降低开发速度的情况下,实施安全第一的思想。
Atlassian认为,建立安全第一思想的最佳方式是使其成为软件开发工作流程的无缝组成部分。 我们很高兴在今天的Team'21上宣布,我们已经与领先的应用安全供应商Snyk合作,在Bitbucket云中推出了深度安全集成。
由于这种合作关系,Snyk的许多安全功能将直接嵌入Bitbucket Cloud,因此团队可以实时了解其代码和容器中的任何安全问题,在开发早期识别漏洞修复,并在部署后监测新的风险。 这些新功能将在5月和6月的几周内推出。
今天已经有超过200万的开发者使用Snyk进行安全构建,不久之后,你将能够预测潜在的漏洞,并在你的开发工作流程旁边迅速补救它们,--无论它们是出现在你的仓库、PR还是构建中。
宣布Bitbucket Cloud中的安全标签,由Snyk提供
今天,大约90%的应用程序包含开源包,其中70%至少有一个安全漏洞。再加上过去3年中,开源漏洞增加了250%,很明显,安全问题在DevOps的世界中是没有商量余地的。
与Snyk的整合是围绕着Bitbucket内的一个新的安全标签,在那里你将能够开始你的旅程,看到你的依赖文件代码库和容器镜像中存在的风险,所以你可以在他们被安全团队升级之前解决它们。对于你的团队中的安全分析师来说,他们将能够获得对现有漏洞和开源许可问题的可见性,因此他们可以更好地优先考虑需要解决的问题。
安全标签启用的主动回购扫描
告别你的安全团队在发货到生产地后标记紧急问题的做法。
一旦安装了Snyk集成,安全选项卡就会成为一个专门的仪表盘,为你的版本安全提供可见性。Snyk扫描软件包的依赖关系和Docker文件,为团队提供一个集中的地方来查看他们所有的代码库漏洞。
在这个仪表盘中,团队可以看到安全洞察力和这些存储库中的漏洞总数,并按低、中、高的风险分数分组。这个由成熟度和严重性权衡的Snyk分数,可以帮助团队优先处理哪些工作,并与上下文信息配对,提供如何修复这些风险的建议。
通过安全选项卡中的资源库扫描,团队可以在开发过程中确定修复的优先次序,使安全变得主动而不是被动。
通过Code Insights里面的PR扫描来提高你的代码安全性
Snyk也被集成到Bitbucket的Code Insights功能中。作为复习,Code Insights为用户提供报告、注释和指标,帮助你和你的团队在审查过程中提高代码质量。
当代码被推送到PR时,Snyk可以扫描它的新漏洞和许可问题,使团队能够在整个代码审查过程中修复问题:
使用Snyk Pipe为您的CI/CD带来安全测试
这种合作关系植根于我们的共同信念,即DevSecOps是DevOps的下一个演变。
我们还一起将安全引入另一个开发的最佳实践。CI/CD。Bitbucket管道中的Snyk管道使得在你的CI/CD管道中添加自动化安全测试变得简单。
只需在你的bitbucket-pipelines.yml中添加几行配置,你就可以自动扫描依赖关系中的漏洞。
如果发现了漏洞,Snyk管道就会对这个过程进行处理。
今天就开始吧
随着团队越来越多地被推动去主动考虑安全问题(而不是被动的!),他们的工具也需要做同样的事情。Bitbucket Cloud和Snyk一起使安全问题轻松地进入开发生命周期的每一步。
提示
总结一下,通过Bitbucket Cloud中的Snyk,你可以:
1.在安全团队敲门之前发现你的回购中的新漏洞。
2.2.找到并修复你在每个PR中引入的漏洞。
3.最后,使用Bitbucket Pipelines扫描你的构建并识别冗余。
