SNYK به امنیت پروژه Golang Bento کمک می کند

SNYK در حال بررسی با استفاده از پروژه Golang منبع باز Bento برای خواندن داده ها از جریان های کافکا و تحقق اطلاعات به خروجی های مختلف است. ما خوشحالیم که به اشتراک می گذاریم که با کمک به روزرسانی های رفع وابستگی ، به طور فعال به امنیت پروژه بنتو کمک می کنیم.

بنتو چیست؟

بنتو یک ابزار پردازش داده های جریان باز است که برای سهولت در استفاده و قابلیت اطمینان طراحی شده است. این برنامه دارای پیکربندی اعلامی ، امکان اتصال به منابع متنوع داده ها و سینک ها است و وظایف مشترک مهندسی داده ها مانند تحولات ، ادغام ها و چند برابر را انجام می دهد. نوشته شده در Go ، Bento از طریق افزونه ها قابل گسترش است و آن را با نیازهای مختلف پردازش داده سازگار می کند.

در زیر نمونه ای از پرونده پیکربندی بنتو نشان دهنده پردازش داده های خط لوله است

input:
  gcp_pubsub:
    project: foo
    subscription: bar

pipeline:
  processors:
    - mapping: |
        root.message = this
        root.meta.link_count = this.links.length()
        root.user.age = this.user.age.number()

output:
  redis_streams:
    url: tcp://TODO:6379
    stream: baz
    max_in_flight: 20

SNYK پروژه بنتو را تضمین می کند

در Snyk ، ما دوست داریم محصولات خود را “سگ” کنیم و در خطوط لوله CI/CD خود به عنوان نمونه ای از استفاده از محصولات امنیتی توسعه دهنده SNYK از SNYK استفاده می کنیم.

در طی یک اسکن امنیتی کانتینر از باینری Bento v1.5.0 ، ما یک آسیب پذیری را در golang.org/x/crypto/ssh تشخیص دادیم.

این آسیب پذیری ، که از طریق CVE-2025-22869 در پایگاه داده آسیب پذیری SNYK ردیابی می شود ، انکار حمله خدمات است که بر پروژه های Golang که به کتابخانه X/Crypto/SSH بستگی دارد ، تأثیر می گذارد.

با توجه به اینکه بنتو یک پروژه منبع باز است ، ما با نگهبانان از طریق Discord تماس گرفتیم و خوشحال شدیم که آنها را برای ما خوشحال می کنیم تا بتوانیم برخی از اصلاحات را انجام دهیم. ما دو PRS ایجاد کردیم تا مسئله را برطرف کنیم:

• درخواست کشش برای به روزرسانی برای رفتن 1.23
• یک درخواست پیگیری برای استفاده از کتابخانه Crypto Go برای استفاده از نسخه ایمن که آسیب پذیری های امنیتی را معرفی نمی کند ، استفاده می کند.

هر دو کمک ما در شاخه اصلی پروژه بنتو ادغام شده اند و بخشی از نسخه های آینده خواهند بود.

دعوت SNYK برای تأمین پروژه های منبع باز

در اوایل سال جاری ، ما برنامه Secure Developer Snyk را راه اندازی کردیم-یک برنامه جدید که از نگهبانان منبع باز دعوت می کند تا پروژه های خود را به SNYK متصل کنند و تجربه اسکن کامل و نامحدود شرکت را از Snyk دریافت کنند. این شامل API Access ، Fix DeepCode AI Snyk ، حساب های خدمات و بسیاری از ویژگی های دیگر برای کمک به شما در رفع آسیب پذیری های امنیتی و تولید نرم افزار ایمن است.