Automatizar el chequeo de vulnerabilidades con snyk

Clase 42 de 43 • Curso de Express.js 2018

Para usar snyk lo primero es crear una cuenta en https://app.snyk.io/signup para agilizar el proceso recomiendo usar la cuenta de GitHub.

Después de la creación de la cuenta nos redireccionara a las integraciones o podemos ir directamente mediante el link https://app.snyk.io/org/<usuario>/integrations.

Seleccionamos la integración con GitHub (o con el servicio más adecuado para nuestro proyecto) y allí nos aseguramos de conectar nuestra cuenta con GitHub, otorgando los permisos necesarios.

Por ultimo necesitamos agregar el repositorio de nuestro proyecto para que haga la revisión automática de vulnerabilidades en cada Pull request, mediante el botón Add your GitHub repositories to Snyk.

Allí buscaremos el repositorio de nuestro proyecto, lo seleccionamos y le damos en el buton Add 1 selected repository to Snyk.

Cuando termine la integración podemos dirigirnos al dashboard de nuestros proyectos haciendo click en la pestaña Projects o mediante el link https://app.snyk.io/org/<usuario></usuario>/projects y verificar el estado de nuestras dependencias:

En lo posible debemos evitar tener vulnerabilidades High (H) o Medium (M) para corregirlas le damos click en View report and fix.

Tener en cuenta que algunas vulnerabilidades no tienen solución en el momento por lo que toca estar pendiente de un posible fix o cambiar de librería.

Andrés Felipe Castañeda

student•

Sin duda alguna este curso me deja claro la cantidad de herramientas disponibeles que nos pueden servir para el desarrollo, es increible!

Daniel Salazar Munoz

student•

Definitivamente el nivel del curso esta muy bien, nos quedan muchas herramientas útiles que ni pensé ver aquí y ha sido muy útil ver como podemos asegurar nuestras aplicaciones con herramientas como esta.

Naldo Duran

student•

✌

Arlex Felipe Llanos Betancourt

student•

Buen dato, a probarlo 💪🤩

Carlos Enrique Ramírez Flores

student•

Gracias! Este tipo de lecturas valen la pena porque siempre nos dan un panorama más amplio de lo que podemos lograr teniendo nuestra aplicación ya en producción y que nos ayudan a validar información. Por ejemplo Sentry se me hizo muy chln90n porque cualquier falla nos envía correo automáticamente avisando con detalle qué es lo que pasó.

Usuario anónimo

user•

😮✌

Automatizar el chequeo de vulnerabilidades con snyk

Bienvenida e introducción

¿Dónde aprender Express.js actualizado?

Lo que aprenderás sobre Express.js

¿Qué es express y para qué sirve?

Creando tu primer servidor

Express application generator

Template Engines y archivos estáticos

Qué es template engine y cómo crearlo

Implementando un template engine

Usando Pug como template engine

Usando Handlebars como template engine

Creando nuestro layout de productos usando Pug

Manejo de archivos estáticos

Creando un API Restful

Anatomía de una API RESTful e implementación CRUD

Implementando nuestra capa de Servicios

Recapitulando el proyecto

Request object

Conectando Express.js con servicios externos

Conexión a Mongodb en Express.js

Conectando nuestros servicios con mongo DB

Implementando acciones CRUD en MongoDB

Configurar una cuenta en Amazon AWS

Middlewares: En el medio del request

Qué es un middleware y qué tipos existen

Manejo de errores usando un middleware

Validación de datos usando un middleware

Implementando Sentry para el manejo de log de errores

Qué es Joi y Boom y cómo configurar Joi

Configurando Boom y nuestra página 404

Middlewares populares

Autenticación en Express.js

JSON Web Tokens

Configuración y uso de Passport.js

Asegurando nuestra API e identificando rutas sensibles

Testing

Creando tests para nuestros endpoints

Creando tests para nuestros servicios

Creando tests para nuestras utilidades

Agregando coverage para ver la calidad de nuestras pruebas

Debugging e inspect

Deployment

Buenas prácticas para el despliegue en producción

npm script

Añadiendo manejo de cache y seguridad con helmet

Cómo usar las variables de entorno para diferente ambientes

Habilitando CORS en producción

Cómo funciona y por qué es importante el uso de HTTPS

Desplegando con Now y detectando vulnerabilidades con npm audit

Automatizar el chequeo de vulnerabilidades con snyk

Conclusiones