Schwachstellensuche: Snyk untersucht nun auch Python, Gradle und Scala
Das Tool zum Vermeiden von Schwachstellen durch Einbinden von Open-Source-Code in eigene Projekte kann nun auch über pip integriere Python-Pakete untersuchen und die Build-Dateien von Gradle und Scala auswerten.
- Rainald Menge-Sonnentag
Snyk ist ein Tool, mit dem Entwickler die in ihren Projekten verwendeten Open-Source-Pakete auf Schwachstellen überprüfen. Dazu verwalten die Betreiber des Dienstes eine Vulnerability-Datenbank. Neuerdings lassen sich neben Node.js Ruby und Maven auch Python, Scala und Gradle überprüfen.
Für alle drei können Entwickler entweder das Befehlsfenster Snyk CLI oder eine Einbindung in GitHub verwenden. Bei Python-Projekten funktioniert der Test für über den Python Package Index (PyPi) mit pip eingebundene Pakete gleichermaßen für Version 2.x und 3.x der Programmiersprache. Für Gradle und Scala teste Snyk die Build-Dateien build.gradle beziehungsweise build.sbt auf Maven-Abhängigkeiten, die das System mit der Vulnerability-Datenbank vergleicht.
(Bild: Snyk)
Bei der Integration in GitHub testet Snyk neue Pull Requests, um zu vermeiden, dass auf die Weise neue Schwachstellen Einzug ins Projekt halten. Das Snyk CLI kommt für manuelle Tests ebenso zum Einsatz wie zur Integration in Continuous-Integration-Werkzeuge wie Jenkins, Travis und Circle CI.
Weitere Details lassen sich dem Blogbeitrag entnehmen. Snyk ist für kleinere private sowie Open-Source-Projekte kostenlos. Der reguläre Preis startet bei 99 US-Dollar monatlich. (rme)
