将 snyk 与我的天蓝色管道安全问题集成
integrating snyk with my azure pipeline security concerns
我正在将 Snyk 与我的 Azure 管道集成,但我担心的是:
1- Snyk 是否会复制我的源代码并将其保存在他们的服务器上,因为我正在连接并使用 API 密钥向我的 Azure 管道提供身份验证?
2- 除了 CI/CD,还有什么其他选项可以将 Snyk 连接到我的 Azure 管道?
3- 当我将 Snyk 集成到 Azure 管道并扫描源代码时,后台发生了什么,Snyk 是否可以访问我的源代码?他们有源代码的副本吗?
任何人都可以帮助解决这些问题吗?
谢谢
这取决于您使用的是什么 snyk 组件。使用 snyk 代码,是的,代码已上传到 snyk,因此他们可以对其进行分析。这是 SAST 分析所必需的,他们详细说明了多长时间(最多 24 小时)以及他们如何存储您的代码:
https://docs.snyk.io/more-info/how-snyk-handles-your-data
他们声称他们不会将您的代码用于任何其他用途。
因此,从纯粹的技术角度来看,通过提供您的访问密钥,他们确实可以访问您的 Azure 管道中的第一方代码。所以问题是你有多信任他们的服务条款,特别是他们不会在 SAST 之外使用你的代码。目前没有其他选项不上传您的代码。
但是,使用 snyk oss 时,不会将任何代码上传到 snyk 基础设施,而是会下载易受攻击的库列表,并将其与您正在引用的库进行比较,以便他们可以执行 SCA。
我正在将 Snyk 与我的 Azure 管道集成,但我担心的是:
1- Snyk 是否会复制我的源代码并将其保存在他们的服务器上,因为我正在连接并使用 API 密钥向我的 Azure 管道提供身份验证?
2- 除了 CI/CD,还有什么其他选项可以将 Snyk 连接到我的 Azure 管道?
3- 当我将 Snyk 集成到 Azure 管道并扫描源代码时,后台发生了什么,Snyk 是否可以访问我的源代码?他们有源代码的副本吗?
任何人都可以帮助解决这些问题吗?
谢谢
这取决于您使用的是什么 snyk 组件。使用 snyk 代码,是的,代码已上传到 snyk,因此他们可以对其进行分析。这是 SAST 分析所必需的,他们详细说明了多长时间(最多 24 小时)以及他们如何存储您的代码: https://docs.snyk.io/more-info/how-snyk-handles-your-data
他们声称他们不会将您的代码用于任何其他用途。
因此,从纯粹的技术角度来看,通过提供您的访问密钥,他们确实可以访问您的 Azure 管道中的第一方代码。所以问题是你有多信任他们的服务条款,特别是他们不会在 SAST 之外使用你的代码。目前没有其他选项不上传您的代码。
但是,使用 snyk oss 时,不会将任何代码上传到 snyk 基础设施,而是会下载易受攻击的库列表,并将其与您正在引用的库进行比较,以便他们可以执行 SCA。