从他们的网页上对Github仓库运行Snyk,在pom中发现7个高严重性问题。xml文件。
我已经配置了Jenkins来运行Snyk插件的同一个项目,但只是得到:
Snyk安装是针对已知问题的最新测试。..
/var/lib/jenkins/tools/io。snyk.jenkins.tools.SnykInstallation/synk-tool/snyk-linux test --json --severity-threshold=low结果:0已知问题|无已知漏洞Remember项目用于持续监控。.. /var/lib/jenkins/tools/io.snyk.jenkins.tools.SnykInstallation/synk-tool/snyk-linux monitor --json --severity-threshold=low存档工件构建步骤“调用Snyk安全任务”将构建结果更改为SUCCESS
Synk插件使用www. example中的令牌 www.example.com 页面,并在Jenkins中使用所有默认值进行配置。
1条答案
按热度按时间ego6inou1#
另一个原因可能是Snyk中CLI扫描和SCM扫描之间的差异,例如,由于不支持某些变量或私有依赖项。如果您没有集成Artifactory,则会在CLI中发现,而不会在SCM中发现(但在这种情况下,CLI中的漏洞数量实际上会高于SCM)
这篇文章详细解释了https://docs.snyk.io/snyk-cli/test-for-vulnerabilities/differences-in-vulnerability-counts-across-environments
请注意,自从这个问题以来,Snyk已经大大提高了Maven的SCM准确性,并且SCM和CLI结果之间几乎没有差异。