Анализ уязвимостей в зависимостях репозитория SourceCraft

В SourceCraft доступен анализ зависимостей (Software Composition Analysis, SCA), которые используются в репозитории.

SCA — это набор инструментов, которые позволяют разработчику определить, какие зависимости используются в процессе разработки ПО, и какие известные уязвимости они содержат.

SCA автоматически строит Software Bill of Materials (SBOM) — список всех зависимостей проекта, включая транзитивные, и сопоставляет их с актуальными базами CVE.

Чтобы посмотреть уязвимости, обнаруженные в зависимостях репозитория:

1. Откройте главную страницу SourceCraft.

2. На вкладке Домой перейдите в раздел Репозитории и выберите репозиторий.

3. На странице репозитория в разделе Безопасность перейдите в секцию Зависимости.

   В списке уязвимостей отображается дата последнего обнаружения.

   Чтобы скачать SBOM в формате SPDX, нажмите кнопку Загрузить SBOM.

4. Чтобы посмотреть информацию о конкретной уязвимости, выберите ее в списке.

   Для каждой найденной уязвимости отображается следующая информация:

   • Номер CVE, название пакета и его текущая версия.
   • Цветовая маркировка уровня критичности обнаруженной проблемы.
   • Статус инцидента — Открыт или Решён.
   • Отметка о ложном срабатывании (если было отмечено).

5. Чтобы отметить инцидент как решенный:

   1. Напротив нужного инцидента нажмите Решён.
   2. Введите комментарий к инциденту.
   3. (опционально) Отметьте инцидент как ложное срабатывание.
   4. Нажмите Решить.

6. Чтобы повторно открыть инцидент, напротив нужного инцидента нажмите Переоткрыть.

См. также

• Безопасность в SourceCraft
• Сканирование секретов в репозитории SourceCraft