Анализ уязвимостей в зависимостях репозитория SourceCraft

В SourceCraft доступен анализ зависимостей (Software Composition Analysis, SCA), которые используются в репозитории.

SCA — это набор инструментов, которые позволяют разработчику определить, какие зависимости используются в процессе разработки ПО, и какие известные уязвимости они содержат.

SCA автоматически строит Software Bill of Materials (SBOM) — список всех зависимостей проекта, включая транзитивные, и сопоставляет их с актуальными базами CVE. Также для каждой зависимости определяется CVSS-вектор для более точной обработки уязвимости и определения приоритета в исправлениях.

Чтобы посмотреть уязвимости, обнаруженные в зависимостях репозитория:

  1. Откройте главную страницу SourceCraft.

  2. На вкладке Домой перейдите в раздел Репозитории и выберите репозиторий.

  3. На странице репозитория в разделе Безопасность перейдите в секцию Зависимости.

    В списке уязвимостей отображается дата последнего обнаружения.

    Чтобы скачать файл SBOM (Software Bill of Materials) в формате SPDX для аудита или интеграции с внешними системами, нажмите кнопку Загрузить SBOM.

    Совет

    В строке фильтра вы можете отфильтровать уязвимости по статусу (Открыт, Решен и Ложное срабатывание) и важности (Критический, Высокий, Средний и Низкий).

    Также вы можете отсортировать уязвимости по статусу или важности.

  4. Чтобы посмотреть информацию о конкретной уязвимости, выберите ее в списке.

    Для каждой найденной уязвимости отображается следующая информация:

    • Номер CVE, название пакета и его текущая версия.
    • CVSS-вектор и уровень критичности уязвимости.
    • Цветовая маркировка уровня критичности обнаруженной проблемы.
    • Статус инцидента — Открыт или Решён.
    • Отметка о ложном срабатывании (если было отмечено).

    В блоке Активность отображается хронология событий по конкретной уязвимости в репозитории: когда предупреждение было открыто, кем и когда было отмечено как решенное или открыто повторно.

  5. Чтобы отметить инцидент как решенный:

    1. Напротив нужного инцидента нажмите Решён.
    2. Введите комментарий к инциденту.
    3. (опционально) Отметьте инцидент как ложное срабатывание.
    4. Нажмите Решить.

  6. Чтобы повторно открыть инцидент, напротив нужного инцидента нажмите Переоткрыть.

См. также

Предыдущая
Сканирование секретов
Следующая
Обзор