Abhängigkeiten

Software-Stückliste

Weblate publishes a Software Bill of Material (SBOM) using the CycloneDX format for released versions. The SBOM is available as a versioned weblate-<version>-sbom.cdx.json file in the GitHub release assets and is also attached to the release provenance using GitHub artifact attestations. This can be used to review the dependencies for security issues or license compliance.

Abhängigkeiten auf Schwachstellen nachverfolgen

Sicherheitslücken in unseren Abhängigkeiten werden mit Renovate überwacht. Dies deckt die Python- und JavaScript-Bibliotheken ab, und die Abhängigkeiten der neuesten stabilen Version wurden aktualisiert, um Sicherheitslücken zu vermeiden.

Hinweis

Es kann Schwachstellen in Bibliotheken von Drittanbietern geben, die Weblate nicht betreffen, so dass diese nicht durch Veröffentlichungen zur Fehlerbehebung von Weblate behoben werden.

Sicherheit von Docker-Containern

Die Docker-Container werden in unserer CI auf Sicherheitsschwachstellen gescannt. So können wir Schwachstellen frühzeitig erkennen und Verbesserungen schnell veröffentlichen.

Sie können die Ergebnisse dieser Scans auf GitHub abrufen – sie sind als Artefakte auf unserem CI als SARIF gespeichert.

Siehe auch

• Kontinuierliche Integration

• Renovate

• Anchore