🐛 dep-scan: Полный аудит безопасности зависимостей проекта с открытым исходным кодом (SCA)

Мануал

dep-scan – инструмент аудита безопасности зависимостей проекта на основе известных уязвимостей, рекомендаций и лицензионных ограничений.

В качестве входных данных поддерживаются как локальные репозитории, так и образы контейнеров.

Инструмент идеально подходит для CI со встроенной логикой прерывания сборки.

Особенности

  • Локальные репозитории и сканирование на основе образов контейнеров [
  • Сканирование уязвимостей пакетов выполняется локально и довольно быстро. Сервер не используется!
  • Настраиваемый кэш и функция синхронизации для управления данными локального кэша
  • Предустановлен и интегрирован с slscan
  • Предложение оптимальной версии исправления по группам пакетов
  • Выполняет глубокий аудит рисков пакетов

При сканировании учитываются только пакеты приложений в образах контейнеров. Пакеты ОС пока не включены.

Поддерживаемые языки и формат пакетов

dep-scan использует внутреннюю команду cdxgen для создания файла Software Bill-of-Materials (SBoM) для проекта.

Затем он используется для выполнения сканирования.

cdxgen поддерживает следующие проекты и формат зависимостей пакетов.

Язык Формат пакетов
node.js package-lock.json, pnpm-lock.yaml, yarn.lock, rush.js
java maven (pom.xml [1]), gradle (build.gradle, .kts), scala (sbt)
php composer.lock
python setup.py, requirements.txt [2], Pipfile.lock, poetry.lock, bdist_wheel
go go.mod, go.sum, Gopkg.lock, binary
ruby Gemfile.lock, gemspec
rust Cargo.toml, Cargo.lock
.Net Framework .csproj, packages.config
.Net core .csproj, packages.config
docker / oci image Все поддерживаемые языки, за исключением пакетов ОС

ПРИМЕЧАНИЕ

В настоящее время образ docker для dep-scan не содержит подходящих команд java и maven, необходимых для создания BOM. Чтобы обойти это ограничение, вы можете…

  • Использовать выполнение на основе python с виртуальной машины, содержащей правильные версии java, maven и gradle.
  • Сгенерировать файл bom, вызвав локально команду cdxgen и затем передав ее dep-scan через аргумент -bom.

Скачать

 

Добавить комментарий