오픈소스를 위한 Snyk CLI
Snyk 오픈소스는 매니페스트 파일을 스캔합니다. 스캔을 기반으로 Snyk은 매니페스트 파일에 표시된 구조의 계층적 트리를 생성합니다. 여기에는 직접 및 간접(전이) 종속성과 서로 다른 패키지가 도입되는 지점이 모두 포함됩니다.
이 트리가 구축된 후 Snyk은 취약점 데이터베이스를 사용하여 종속성 트리의 어디에나 있는 패키지에서 취약점을 찾습니다. Snyk을 사용하면 소스에서 프로젝트를 수정하는 것보다 프로젝트를 분석하는 것이 더 쉽습니다. 취약한 패키지가 도입된 지점을 빠르게 식별할 수 있습니다.
오픈소스 프로젝트 테스트
프로젝트의 알려진 취약점을 테스트하려면:
프로젝트가 포함된 폴더로 이동합니다 (
cd ~/projects/myproj/)$ snyk test를 실행합니다.
snyk test 명령은 모든 로컬 종속성을 식별하고 Snyk 서비스에 알려진 취약점을 쿼리합니다. snyk test는 발견된 문제와 함께 추가 정보를 표시합니다. snyk test 결과에 대한 정보는 Snyk 오픈소스 CLI 결과 검토를 참조하십시오.
Node.js, Ruby 및 Java 프로젝트의 경우 snyk test는 수정 단계도 제안합니다.
Snyk이 프로젝트 유형을 감지하는 데 사용하는 파일
snyk test가 실행되면 매니페스트 파일을 찾고 발견된 파일 중 첫 번째 파일을 스캔하여 프로젝트 유형을 자동으로 감지하려고 시도합니다. Snyk이 프로젝트 유형을 자동으로 감지하는 데 사용하는 파일에는 다음이 포함되지만 이에 국한되지는 않습니다.
yarn.lock
package-lock.json
package.json
Gemfile.lock
pom.xml
build.gradle
build.sbt
Pipfile
requirements.txt
Gopkg.lock
vendor/vendor.json
obj/project.assets.json
packages.config
composer.lock
build.gradle.kts
go.mod
여러 매니페스트 파일을 분석하려면 여러 매니페스트 파일 스캔을 참조하십시오.
Snyk이 파일을 분석하고 트리를 구축하는 방식은 다음에 따라 달라집니다.
매니페스트 파일 유형에 따라 결정되는 사용 중인 언어 및 패키지 관리자
Snyk CLI를 사용한 스캔 방법 또는 Git 리포지토리 통합을 사용하여 프로젝트 가져오기
자주 사용되는 옵션으로 snyk test를 실행하는 방법에 대한 팁은 snyk test 명령을 사용자 정의하기 위한 옵션 사용을 참조하십시오.
지원되는 언어에 대한 자세한 내용은 지원되는 언어, 패키지 관리자 및 프레임워크를 참조하십시오.
Last updated