🐛 dep-scan: Полный аудит безопасности зависимостей проекта с открытым исходным кодом (SCA)

dep-scan – инструмент аудита безопасности зависимостей проекта на основе известных уязвимостей, рекомендаций и лицензионных ограничений.

В качестве входных данных поддерживаются как локальные репозитории, так и образы контейнеров.

Инструмент идеально подходит для CI со встроенной логикой прерывания сборки.

Особенности

• Локальные репозитории и сканирование на основе образов контейнеров [
• Сканирование уязвимостей пакетов выполняется локально и довольно быстро. Сервер не используется!
• Настраиваемый кэш и функция синхронизации для управления данными локального кэша
• Предустановлен и интегрирован с slscan
• Предложение оптимальной версии исправления по группам пакетов
• Выполняет глубокий аудит рисков пакетов

При сканировании учитываются только пакеты приложений в образах контейнеров. Пакеты ОС пока не включены.

Поддерживаемые языки и формат пакетов

dep-scan использует внутреннюю команду cdxgen для создания файла Software Bill-of-Materials (SBoM) для проекта.

Затем он используется для выполнения сканирования.

cdxgen поддерживает следующие проекты и формат зависимостей пакетов.

ПРИМЕЧАНИЕ

В настоящее время образ docker для dep-scan не содержит подходящих команд java и maven, необходимых для создания BOM. Чтобы обойти это ограничение, вы можете…

• Использовать выполнение на основе python с виртуальной машины, содержащей правильные версии java, maven и gradle.
• Сгенерировать файл bom, вызвав локально команду cdxgen и затем передав ее dep-scan через аргумент -bom.

Скачать