Dependencias

Cargo del Material de Software

Weblate sube un Cargo de Software de Material (SBOM) utilizando el formato CycloneDX para versiones de liberación. El SBOM está disponible como una archivo versionado en weblate-<version>-sbom.cdx.json en el GitHub release assets y también se adjunta a la procedencia de la versión mediante las certificaciones de artefactos de GitHub. Esto puede ser utilizado para revisar las dependencias para incidencias de seguridad o cumplimiento de licencias.

The release SBOM records document-level metadata for the CISA 2025 minimum elements, including the SBOM author, software producer, generation tools, timestamp, generation context, and Weblate release component identity. Dependency component details are emitted by the ecosystem SBOM generators used during the release. Python component license and hash completeness therefore depends on CycloneDX export support in uv.

Búsqueda de vulnerabilidades en las dependencias

Incidencias de seguridad en nuestras dependencias están monitorizadas utilizando Renovar. Esto cubre las bibliotecas de Python y JavaScript, y la última liberación estable tiene sus dependencias actualizadas para evitar las vulnerabilidades.

Consejo

Podrían existir vulnerabilidades en bibliotecas de terceros que no afecten a Weblate, por lo que no se solucionarán lanzando versiones de corrección de defectos de Weblate.

Seguridad del contenedor Docker

Los contenedores Docker se escanean en busca de vulnerabilidades de seguridad en nuestra CI. Esto nos permite detectar vulnerabilidades de manera pronta y publicar una versión actualizada del contenedor que incluya arreglos.

Puedes obtener los resultados de estos análisis en GitHub; se almacenan como artefactos en nuestra CI como SARIF, el formato de intercambio de resultados de análisis estáticos.

Ver también

• Integración continua

• Renovate

• Anchore