Bağımlılık Kontrolü: Açık Kaynak Yazılım Kompozisyon Analizi (SCA) Aracı


Bağımlılık kontrolü, bir projenin bağımlılıkları içindeki kamuya açıklanan güvenlik açıklarını tanımlamak için açık kaynaklı bir yazılım kompozisyon analizi (SCA) aracıdır.

Bağımlılık kontrolü

Araç, ortak platform numaralandırma (CPE) tanımlayıcıları için bağımlılıkları analiz eder. Bir eşleşme bulunduğunda, araç ilgili ortak güvenlik açıkları ve maruziyet (CVE) girişlerine bağlantılar içeren bir rapor oluşturur ve ekiplerin güvenlik risklerini ele almasına yardımcı olur.

Bağımlılık kontrolü ana bileşenleri

Araç dört ana bileşenden oluşur:

  • Motor: Diğer tüm bileşenlerin yürütülmesini doğru sırada düzenleyen merkezi kontrolör.
  • Tarayıcı: Tarafından belirtilen dosyaları ve dizinleri geçer. -scan komut satırı parametresi, kullanılabilir bir analizör tarafından işlenebilecek dosyaları tanımlar. Bu dosyalar bağımlılık nesneleri oluşturmanın temelini oluşturur.
  • Analizör: Uygulamanın temel bileşeni, bağımlılıkların işlenmesinden sorumlu. Kanıt, tanımlayıcılar veya güvenlik açıkları gibi ilgili bilgileri ekleyerek bağımlılık nesnelerini zenginleştirir (aşağıda ayrıntılı olarak açıklanmıştır).
  • Rapor Üreticisi: Çıktıyı yapılandırmak için hız şablonlarını kullanarak analizör bulgularına dayalı olarak tanımlanmış bağımlılıklar hakkında raporlar derler ve oluşturur.

Vahşet veritabanı

Araç, güvenlik açığı veritabanını NIST’in NVD veri beslemelerini kullanarak otomatik olarak günceller. İlk veri indirimi beş dakika veya daha uzun sürebilir, ancak müteakip güncellemeler, veri geçerli tutmak için aracın en az yedi günde bir çalıştırılması koşuluyla yalnızca küçük bir XML dosyası gerektirir. Bu ürün NVD API’sını kullanır, ancak NVD tarafından onaylanmaz veya sertifikalandırılmaz.

Bağımlılık kontrolü GitHub’da ücretsiz olarak kullanılabilir.

Okumalı:




Source link