依存関係¶
ソフトウェア部品表¶
Weblate publishes a Software Bill of Material (SBOM) using the CycloneDX
format for released versions. The SBOM is available as a versioned
weblate-<version>-sbom.cdx.json file in the GitHub release assets and
is also attached to the release provenance using GitHub artifact attestations.
This can be used to review the dependencies for security issues or license
compliance.
The release SBOM records document-level metadata for the CISA 2025 minimum elements, including the SBOM author, software producer, generation tools, timestamp, generation context, and Weblate release component identity. Dependency component details are emitted by the ecosystem SBOM generators used during the release. Python component license and hash completeness therefore depends on CycloneDX export support in uv.
脆弱性の依存関係の追跡¶
依存関係のセキュリティ問題は、Renovate を使用して監視されます。これは Python と JavaScript ライブラリを含み、最新の安定版リリースでは脆弱性を避けるために依存関係が更新されています。
ヒント
サード パーティのライブラリには、Weblate に影響しない脆弱性がある可能性があるため、Weblate のバグ修正バージョンをリリースしても解決されません。
Docker コンテナのセキュリティ¶
Docker コンテナは CI 内でセキュリティ脆弱性のスキャンが行われます。これにより、脆弱性を早期に検出し、迅速に改善をリリースできます。
このスキャンの結果は GitHub から取得できます。— これは SARIF(静的解析結果交換フォーマット) で CI に成果物として保存されます。