ContacteIntroducció
Recentment s’han incorporat al Servei d’Integració Contínua una nova eina de tipus SaaS per a usar com a repositori d’artefactes. Es tracta de JFrog Artifactory i en el següent enllaç es pot trobar tota la descripció de l’eina i els mecanismes d’accés.
Una de les funcionalitats que permet utilitzar el nou repositori d’artefactes és la possibilitat de realitzar una anàlisi de les dependències del codi amb el qual estem treballant per a detectar quals d’elles poden contenir vulnerabilitats i evitar introduir-les en l’aplicació.
L’objectiu de la present guia és donar unes breus indicacions per a instal·lar i configurar el plugin JFrog en el IDE Visual Studio Code i poder utilitzar-ho per a realitzar aquest escaneig de dependències. Uns altres IDE que puguin utilitzar-se queden fora de l’abast d’aquesta guia i hauran de consultar la seva documentació per a poder determinar si existeix una integració similar i com fer-la.
Instal·lació i configuració del plugin
La instal·lació es realitza des del propi Visual Studio Code accedint al marketplace d’extensions i buscant “JFrog”. Una vegada trobat s’instal·larà l’extensió, com es pot veure en la següent figura:
Una vegada instal·lat, apareixerà la icona de JFrog en la barra lateral de plugins de VS Code. El següent pas serà iniciar sessió en la plataforma punxant sobre la icona per a accedir al formulari de login:
Punxar en “Continue With SSO”, introduir en “PLATFORM URL” https://ctti.jfrog.io i punxar en “Sign In With SSO” Aquesta acció ens portarà al navegador per a procedir a l’inici de sessió en la plataforma de Jfrog. Apareixerà també un codi de verificació de 4 caràcters del qual cal prendre nota per a enllaçar-lo amb l’inici de sessió des del navegador:
Escàner de dependències
Per al funcionament del escaner de dependències es requerirà tenir instal·lat el CLI del gestor de paquets que aplicació a cada tecnologia ja sigui Maven, NPM, pypi o dotnet i que el seu executable aquest accessible en la variable PATH del sistema.
Una vegada disposem d’aquests requeriments previs, l’escaneig es realitza automàticament en obrir el projecte amb Visual Studio Code o podem llançar-lo des del panell de l’extensió JFrog en qualsevol moment. El resultat de l’anàlisi es podrà veure en el panell de l’extensió o, depenent de la tecnologia, és possible que ens marqui el resultat de forma inline en el codi. La següent imatge mostra un exemple per a un projecte NodeJS amb NPM.
Més informació
En el següent enllaç es pot accedir a la documentació pública de l’extensió en la web del fabricant:
https://jfrog.com/help/r/jfrog-security-user-guide/shift-left-on-security/ides/visual-studio-code
Si voleu més informació podeu consultar la secció de Guies.
Si teniu qualsevol dubte o problema podeu revisar les Preguntes Freqüents o utilitzar els canals de Suport.