Snyk Code를 통해 최상의 Shift 를 경험하십시오. [Snyk advent 달력]

이 글은 Snyk를 이용해서 안전에 대한 기사를 내주세요!【PR】Snyk 다음날의 글이다.
지난번Snyk의 취약성 데이터베이스는 얼마나 큽니까?.Snyk의 취약성 데이터베이스, PoC가 있나, 어떻게 수정하는지 등은 쉽게 알아볼 수 있다.
취약성 진단이 너무 늦었다
여러분, 특히 대기업에서 코드를 쓰는 사람들은 대부분 취약성 진단을 받습니다.많은 경우 그것은 대부분 개발의 마지막 단계에서 계획된 것이다.기본적으로 취약성은 대부분 E2E에서 볼 수 있는 해결책이기 때문에 테스트의 최종 단계로 여겨지는 것이 아마도 주요한 이유일 것이다.
그렇다면 실제로 모두 완료하고 취약성 진단이 가능하다면 그런 일은 없다.특정한 취약성이란 그 많은 층을 통과하는 일이 적고 특정한 층의 설정과 인코딩이 잘못된 경우가 대부분이다.다만, 확인 수단은 정면으로 맞춰서 뒤로 넘어지기만 했다.
그리고 이렇게 쓰러지는 진단은 개발 효율을 크게 저해할 수 있다.
나는 이전에 코드 평론의 경계 형식으로 비슷한 문제를 발표한 적이 있다.
즉, 이런 일은 발생하기 쉽다.p>

그럼 어쩌죠

아까 논평 자료에서 코드를 쓸 때부터 한 쌍의 전문가와 한 행인을 통해 평론을 하였다.br/>
이것도 비슷한 해결 방안이 어느 정도 안전하다고 말할 수 있다.설계와 코딩 단계부터 안전을 고려한 조치를 취하면 된다p>
이러한 코디로 QA 단계가 자신에게 가까워지면서'Shift Left'로 불리며 많은 조직에서 채택되기 시작했다.p>

그러나 여기서 가장 큰 문제는 많은 조직에서 안전에 관한 문제는 대부분 부서와 회사가 다르다는 것이다.즉 팀에서 듀엣 직업이나 행인 직업을 하고 싶다고 해도 이런 조직이 매우 적다는 지적이 나온다.p>

Snyk Code, 한마디로 "강력한 AI 보안 엔지니어"입니다.첫날 스니크의 방대한 안전자원에 접근했고, AI는 그곳에서 코드를 스캔해 취약점과 코드 개선점을 지적했다.(취약성을 위한 Giithub Copilot 같은 것으로 볼 수 있음)

Snyk Code는 스캔의 일부로 당연히 동작하지만, 이보다 왼쪽으로 이동하는 것은 Visual Studio Code 등 IDE의 플러그인으로 가져오는 상황을 더 잘 체험할 수 있습니다.실제 동작의 모습은 이렇다.

이렇게 하면 코드를 쓰면서 취약한 피드백을 실시간으로 받을 수 있습니다

Visual Studio Code의 경우 간단합니다.Extensions에서 Snyk를 검색하면 다음과 같은 내용으로 표시될 것이며, 설치 후 인증을 하면 거의 완성되지 않을 것이다p>

보충: 연결할 수 없는 사람

잘 썼어요. 그럴 거예요. 그런데 왜 인증에 시간이 많이 걸리죠?이 경우 Snyk에 로그인하면 계정 페이지의 API 토큰을 Snyk에 설치된 VScode의 API 토큰에 붙여넣으면 원활하게 작동할 수 있다p>

Snyk Code에 대한 앞으로의 기대

현황은 유감스럽지만 Snyk 코드의 대응 언어가 상대적으로 제한되어 있음(JS/TS, Python, 자바 공식 지원)

그러나 Snyk유명한 OSS 검색 도구인 FSS ID 인수 등에서 코드 스캔에 대한 피드백이 기대되는 움직임을 보여 향후 C/C++와 모바일 시스템 등 다양한 분야에서 전개될 것으로 전망됩니다

또 코드의 의미에서 스니크도 검색 IaC분야에 주력하고 있으며, 향후 CDK 등 최신 환경에 대응할 수 있다면 시프트 왼쪽 개발을 더욱 추진할 것으로 보인다.p>
DevSecOps가 당연해졌듯이 DevSecOps도 당연한 문화가 되는 것은 먼 미래가 아니겠죠.그 시대를 향한 한 걸음으로 저는 Snyk를 기대하고 있습니다.p>