Close
Visualizzare la pagina in tua lingua?
Lingue
Scegli la tua lingua

Articoli

Principi DevOps
INDIETRO
Panoramica
Storia di DevOps
Vantaggi di DevOps
Cultura DevOps
Best practice DevOps
DevOps e Agile a confronto
Ingegnere DevOps
YBIYRI: sfide e best practice
Come implementare DevOps
How Atlassian does operational readiness
Framework DevOps
INDIETRO
Panoramica
Framework CALMS
Team topologies
Struttura del team
Metriche DevOps
Metriche DORA
Cloud privato
Cloud pubblico
Automazione della distribuzione
SRE e DevOps
Strumenti DevOps
INDIETRO
Panoramica
Toolchain DevOps: considerazioni chiave | Atlassian
Monitoraggio DevOps
Pipeline DevOps
Strumenti DevSecOps
Automazione del test
Strumenti CI/CD

Tutorial

Automazione
INDIETRO
Panoramica
Regola sul merge delle pull request
Regola per la transizione dei ticket
Regole per la sincronizzazione automatica di Statuspage
Regola sull'approvazione delle pull request
Test
INDIETRO
Panoramica
Test automatizzati in Jira con Xray
Crea e gestisci test case con Xray e Jira
Crea un ticket Jira da un test mabl automatizzato
Tieni traccia dell'avanzamento del tuo team in Jira e Zephyr
Sicurezza
INDIETRO
Panoramica
Come Snyk e Bitbucket Cloud rendono possibile l'approccio DevSecOps
Adotta l'approccio DevSecOps grazie a Bitbucket Pipelines e Snyk Pipe
Osservabilità
INDIETRO
Panoramica
Monitoraggio delle applicazioni di Jira e Sentry
Tutorial sull'integrazione tra Jira e Dynatrace
Tutorial sui ticket Jira in Dynatrace
Integra Jira e Datadog
Contrassegno funzioni
INDIETRO
Panoramica
LaunchDarkly for Jira
Split e Jira
Continuous delivery
INDIETRO
Panoramica
JFrog e Jira
Tutorial sull'integrazione tra Harness e Jira
Abilita le distribuzioni di GitLab in Jira
Tutorial sulla continuous integration
Tutorial sulla continuous delivery
Tutorial sulla continuous deployment
Suggerimenti per creare script di task con Bitbucket Pipelines
Integration Testing Tutorial

Guide interattive

Demo Atlassian Open DevOps
INDIETRO
Panoramica
ImageLabeller di Atlassian
Integrazione di Jira con CI/CD
Configurazione del modello pre-addestrato AWS SageMaker
Distribuzione di ImageLabeller
INDIETRO
Panoramica
Distribuzione di ImageLabeller con Bitbucket
Distribuzione di ImageLabeller con GitHub
Distribuzione di ImageLabeller con GitLab
Monitoraggio di ImageLabeller
INDIETRO
Panoramica
Monitoraggio con Opsgenie
Distribuzione degli allarmi AWS CloudWatch con Bitbucket
Distribuzione degli allarmi AWS CloudWatch con GitHub
Distribuzione degli allarmi AWS CloudWatch con GitLab
Integrazioni di terze parti
INDIETRO
Panoramica
Integrazione di Snyk in Atlassian Open DevOps
Utilizzo dei flag delle funzioni LaunchDarkly con Bitbucket Pipelines
Utilizzo dei flag delle funzioni di Split con Bitbucket Pipelines
Creare con le API di Atlassian
INDIETRO
Panoramica
Integrazione di Concourse CI e Open DevOps

Come integrare Snyk e Bitbucket Cloud per implementare l'approccio DevSecOps

Foto di Simon Maple
Simon Maple

Field CTO di Snyk

Adotta l'approccio DevSecOps integrando Snyk con Bitbucket Cloud e Jira.

Snyk si integra con più prodotti Atlassian per migliorare i flussi di lavoro e le pipeline dei team DevSecOps. Questo tutorial descrive i modelli per consentire la sicurezza shift-left sfruttando Atlassian Bitbucket e Snyk. Grazie a queste tecniche il tuo team può eseguire la scansione dei carichi di lavoro basati su applicazioni e container al ritmo di DevSecOps. Imparerai come utilizzare questi modelli per includere la sicurezza in tutte le fasi della pipeline.

Ora

15 minuti.

Pubblico

  • Sviluppatori
  • Ingegneri DevOps e DevSecOps
  • Team di sviluppo e sicurezza delle applicazioni

Prerequisiti

Devi avere un account Snyk, disponibile qui.

Devi avere un account Atlassian Bitbucket. Accedi qui o inizia qui.

Passaggio 1: configura l'ambiente

Installa l'interfaccia della riga di comando di Snyk

L'interfaccia della riga di comando (CLI) di Snyk autentica il computer in uso con l'account Snyk. Lo strumento della CLI ti aiuta a trovare e correggere le vulnerabilità note nelle dipendenze, sia manualmente che nella pipeline CI/CD. Le istruzioni complete per installare la CLI sono disponibili su Snyk in diversi formati per i sistemi operativi e gli ambienti più diffusi. Ad esempio, la CLI è disponibile con brew con questi comandi:

brew tap snyk/tap
brew install snyk

Una volta installata la CLI, effettua l'autenticazione con il seguente comando:

snyk auth

Questo comando apre una scheda del browser per completare il processo di autenticazione e potrai eseguire la scansione del repository cliccando sul pulsante Authenticate (Autentica). Una volta completata l'autenticazione, puoi tornare al terminale e continuare a lavorare.

Risorse lab aggiuntive

Gli esercizi contenuti in questo tutorial includono una combinazione di comandi o frammenti di codice che verranno condivisi nelle pagine del modulo specificate, oltre a modelli e codice sorgente disponibili in un repository Bitbucket pubblico. Una volta configurato l'account Bitbucket Cloud, dovrai copiare queste risorse nel tuo account. Per farlo, attieniti alla seguente procedura:

Esegui il fork del repository

Clicca qui per eseguire un fork del repository nell'account Bitbucket. La documentazione di Atlassian offre istruzioni dettagliate su come eseguire un fork di un repository.

Clona il fork localmente

Una volta completato il fork, è necessario clonare il repository sottoposto a fork. Consulta la documentazione di Atlassian su come clonare un repository per le istruzioni dettagliate.

Passaggio 2: collega Snyk a Bitbucket

In questa sezione collegheremo Snyk a Bitbucket per eseguire la scansione dell'applicazione Bitbucket alla ricerca di vulnerabilità open source.

Diagramma del processo di Bitbucket

Cos'è l'analisi della composizione software (SCA)?

L'analisi della composizione software (SCA) è uno strumento di gestione dei componenti open source. Genera un report che elenca tutti i componenti open source di un'applicazione, incluse le dipendenze dirette e indirette. Utilizzando uno strumento SCA, i team di sviluppo possono monitorare e analizzare rapidamente i componenti open source introdotti in un progetto.

Sebbene pratici e ampiamente utilizzati, i componenti open source sono tradizionalmente difficili da tracciare. Di conseguenza, gli sviluppatori si sono affidati a processi manuali come e-mail e fogli di calcolo per semplificare il lavoro. Tuttavia, questi processi manuali sono un ostacolo alla praticità dell'open source e sono dunque una soluzione incompleta. Un approccio più vantaggioso è quello di sfruttare uno strumento SCA in grado di fornire una visibilità immediata su ogni componente.

Perché utilizzare uno strumento SCA?

I componenti open source sono i principali elementi costitutivi dello sviluppo software praticamente in ogni verticale. Indipendentemente dalle dimensioni dell'organizzazione, SCA aiuta a identificare i componenti open source nelle applicazioni fondamentali per la tua azienda. Gli strumenti SCA consentono agli sviluppatori di:

1. Comprendere le dipendenze utilizzate nelle applicazioni.

2. Applicare policy di sicurezza e conformità per tutto il ciclo di vita dello sviluppo del software (SDLC).

3. Correggere in modo proattivo le potenziali vulnerabilità all'origine.

4. Migliorare l'efficienza del team e il livello di sicurezza aziendale.

Passaggio 3: crea una password per l'app

Dovrai creare una password per l'app per autorizzare Snyk ad accedere al repository e abilitare l'integrazione con Bitbucket Cloud di Snyk.

Per creare una password per l'app:

1. Dal tuo avatar in basso a sinistra, clicca su Personal settings (Impostazioni personali).

Finestra delle impostazioni personali

2. Clicca su App passwords (Password app) in Access management (Gestione dell'accesso).

finestra di gestione dell'accesso

3. Clicca su Create app password (Crea password per l'app).

finestra della password dell'app

4. Assegna alla password dell'app un nome correlato all'applicazione che la utilizzerà.

finestra della password dell'app

5. Seleziona l'accesso e le autorizzazioni specifici che desideri associare alla password dell'applicazione.

  • Account: lettura
  • Appartenenza al team: lettura
  • Progetti: lettura
  • Repository: lettura e scrittura
  • Pull request: lettura e scrittura
  • Webhook: lettura e scrittura

6. Copia la password generata e registrala o incollala nell'applicazione a cui desideri assegnare l'accesso. La password viene visualizzata solo questa volta.

Passaggio 4: aggiungi le variabili del repository

Dovrai definire le variabili del repository a livello di repository, a cui verrà successivamente fatto riferimento nella pipeline. Questi saranno costituiti dai seguenti elementi:

  • SNYK_TOKEN: token API di Snyk per l'autenticazione con l'account Snyk. Si tratta di una variabile protetta.
  • IMAGE: nome immagine del container. Si tratta di una variabile non protetta.

Le altre variabili riguardano le operazioni della pipeline migliorate, non descritte in questo tutorial.

Finestra delle impostazioni del repository

Passaggio 5: Ottieni il token API di Snyk

1. Ottieni il token API di Snyk

Dalla console di Snyk, vai a Settings (Impostazioni) (l'icona dell'ingranaggio nella foto) e, nel menu General (Generale), copia l'ID dell'organizzazione.

Impostazioni generali di Snyk

Dopo aver copiato il token, torna all'interfaccia utente di Bitbucket Cloud e definisci la variabile del repository SNYK_TOKEN.

Passaggio 6: Abilita l'integrazione con Bitbucket

Dalla console di Snyk, accedi a Integrations (Integrazioni) e seleziona Bitbucket Cloud.

Finestra delle integrazioni di Snyk

Nella pagina di integrazione di Bitbucket Cloud, inserisci il tuo nome utente di Bitbucket nel campo Username (Nome utente) e la password dell'app Bitbucket creata nel passaggio precedente nel campo App password (Password app). Quindi, clicca su Save (Salva).

Impostazioni: finestra delle integrazioni

Dopo aver collegato correttamente gli account Snyk e Bitbucket, vedrai un messaggio di conferma e potrai scegliere di aggiungere il repository di Bitbucket Cloud a Snyk.

Rimani su questa pagina e, nella sezione successiva, potrai scoprire come importare un repository di Bitbucket Cloud e sottoporlo a scansione con Snyk.

Sottoponi a scansione e monitora l'applicazione Bitbucket

anteprima della scansione e del monitoraggio di bitbucket

La scansione dell'applicazione alla ricerca di vulnerabilità nelle dipendenze open source inizia dall'origine. Nella sezione precedente, abbiamo abilitato l'integrazione di Snyk con Bitbucket e possiamo adesso importare il primo progetto.

Passaggio 7: aggiungi i repository di Bitbucket Cloud a Snyk

Nell'ultima schermata della sezione precedente, clicca su Add your Bitbucket Cloud repository to Snyk (Aggiungi il repository di Bitbucket Cloud a Snyk).

Aggiungi repository di Bitbucket Cloud a Snyk

Trova il repository di cui hai eseguito un fork nel modulo Configure Environment (Configura ambiente). Clicca sulla casella di spunta per selezionarlo, quindi clicca sul pulsante Add selected repository (Aggiungi repository selezionato) per importare il progetto.

Pulsante Add selected repositories (Aggiungi repository selezionati) nell'angolo in alto a destra

Passaggio 8: Rivedi il report di vulnerabilità

Dovresti vedere il numero delle vulnerabilità in base a packages.json, nonché informazioni dettagliate per ciascuna di esse. Clicca sul progetto appena sottoposto a scansione ed esamina i risultati in Snyk. Grazie a questo strumento, avrai a disposizione non solo contesto (ad esempio informazioni sulla gravità e la scadenza degli exploit per le vulnerabilità), ma anche le seguenti potenti funzionalità:

Report sulla vulnerabilità
  • Fix this vulnerability (Correggi questa vulnerabilità) ti aiuta a correggere le vulnerabilità tramite l'applicazione di patch alla vulnerabilità o l'upgrade delle dipendenze dirette.
  • Priority Score (Punteggio di priorità) ti aiuta a stabilire in modo efficace le priorità delle correzioni. Il punteggio, che va da 1 a 1000, è basato su un algoritmo proprietario che elabora una vasta gamma di fattori, come il punteggio CVSS, la disponibilità di correzioni, gli exploit noti, le informazioni sulla nuova vulnerabilità e se è raggiungibile.
  • Jira integration (Integrazione di Jira) consente di creare ticket in Jira.

Scopri altre integrazioni per Atlassian Open DevOps.

Simon Maple
Simon Maple

Simon Maple is the Field CTO at Snyk, a Java Champion since 2014, Virtual JUG founder, and London Java Community co-leader. He is an experienced speaker, with a passion for community. When not traveling, Simon enjoys spending quality time with his family, cooking and eating great food.

Condividi l'articolo
Argomento successivo
Atlassian Open DevOps

Letture consigliate

Aggiungi ai preferiti queste risorse per ricevere informazioni sui tipi di team DevOps e aggiornamenti continui su DevOps in Atlassian.

Illustrazione su Devops

Community DevOps

Scopri di più
Illustrazione su Devops

Percorso di apprendimento DevOps

Scopri di più
Illustrazione di una mappa

Inizia gratis

Scopri di più

Iscriviti alla nostra newsletter DevOps

Thank you for signing up