dep-scan – инструмент аудита безопасности зависимостей проекта на основе известных уязвимостей, рекомендаций и лицензионных ограничений.
В качестве входных данных поддерживаются как локальные репозитории, так и образы контейнеров.
Инструмент идеально подходит для CI со встроенной логикой прерывания сборки.
Особенности
- Локальные репозитории и сканирование на основе образов контейнеров [
- Сканирование уязвимостей пакетов выполняется локально и довольно быстро. Сервер не используется!
- Настраиваемый кэш и функция синхронизации для управления данными локального кэша
- Предустановлен и интегрирован с slscan
- Предложение оптимальной версии исправления по группам пакетов
- Выполняет глубокий аудит рисков пакетов
При сканировании учитываются только пакеты приложений в образах контейнеров. Пакеты ОС пока не включены.
Поддерживаемые языки и формат пакетов
dep-scan использует внутреннюю команду cdxgen для создания файла Software Bill-of-Materials (SBoM) для проекта.
Затем он используется для выполнения сканирования.
cdxgen поддерживает следующие проекты и формат зависимостей пакетов.
Язык | Формат пакетов |
---|---|
node.js | package-lock.json, pnpm-lock.yaml, yarn.lock, rush.js |
java | maven (pom.xml [1]), gradle (build.gradle, .kts), scala (sbt) |
php | composer.lock |
python | setup.py, requirements.txt [2], Pipfile.lock, poetry.lock, bdist_wheel |
go | go.mod, go.sum, Gopkg.lock, binary |
ruby | Gemfile.lock, gemspec |
rust | Cargo.toml, Cargo.lock |
.Net Framework | .csproj, packages.config |
.Net core | .csproj, packages.config |
docker / oci image | Все поддерживаемые языки, за исключением пакетов ОС |
ПРИМЕЧАНИЕ
В настоящее время образ docker для dep-scan не содержит подходящих команд java и maven, необходимых для создания BOM. Чтобы обойти это ограничение, вы можете…
- Использовать выполнение на основе python с виртуальной машины, содержащей правильные версии java, maven и gradle.
- Сгенерировать файл bom, вызвав локально команду cdxgen и затем передав ее dep-scan через аргумент -bom.
Скачать