安全漏洞
-
漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使恶意者能够在未授权的情况下访问或破坏系统。
-
漏洞可能来自应用软件或操作系统设计时的缺陷或编码时产生的错误,也可能来自业务在交互处理过程中的设计缺陷或逻辑流程上的不合理之处。
-
这些缺陷、错误或不合理之处可能被有意或无意地利用,从而对一个组织的资产或运行造成不利影响,如信息系统被攻击者控制,重要资料被窃取,用户数据被篡改,系统被作为其他主机系统的跳板。
-
从目前发现的漏洞来看,应用软件中的漏洞远远多于操作系统中的漏洞,特别是WEB应用系统中的漏洞更是占信息系统漏洞中的绝大多数
-
测试遵循CVE®披露标准,从静态代码安全性扫描角度,检测软件版本的安全漏洞和漏洞风险程度。CVE®披露的安全漏洞根据CVSS(Common Vulnerability Scoring System)计算出的漏洞的得分划分成 5 类危险程度:超高危(9.0 - 10.0)、高危(7.0 - 8.9)、中危(4.0 - 6.9)、低危(0.1 - 3.9)、无风险(0)。
-
参考
- CVE®官网 : https://cve.mitre.org/
- CVSS评分框架 : https://www.first.org/cvss/
SNYK简介
- 官网地址:https://app.snyk.io/org
在现在的开发中,不管是用什么语言,什么技术栈,我们都会用到很多的开源框架和包。从安全角度讲,这也变相的等于说我们信任陌生的开发者,信任其安全技术水平和相信他没有恶意。在关键业务系统中,仅凭信任肯定不靠谱的。Snky就是用来检查你的依赖包安全漏洞的工具,确保你放心引用各种开源依赖包到你的工程中。
官方介绍:Snyk是一个开发者优先的,自动发现你依赖包的安全漏洞的工具。可以用在多种语言,包括JS,.Net,Java,PHP等等。已经监控了超过100万+的包,12万+的开发者正在使用,保护了10万+的项目
SNYK安装
-
安装snyk, 建议每次执行前都重复安装,以升级snyk
> sudo npm install -g snyk
-
授权,使用github
> snyk auth
自动跳转到⼀一个授权⽹网⻚页,点击授权
如果是首次需要登录github账号
授权完成
-
运行 snyk检测
> snyk test
扫一扫
1894
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
