依存関係¶
ソフトウェア部品表¶
Weblate publishes a Software Bill of Material (SBOM) using the CycloneDX
format for released versions. The SBOM is available as a versioned
weblate-<version>-sbom.cdx.json file in the GitHub release assets and
is also attached to the release provenance using GitHub artifact attestations.
This can be used to review the dependencies for security issues or license
compliance.
脆弱性の依存関係の追跡¶
依存関係のセキュリティ問題は、Renovate を使用して監視されます。これは Python と JavaScript ライブラリを含み、最新の安定版リリースでは脆弱性を避けるために依存関係が更新されています。
ヒント
サード パーティのライブラリには、Weblate に影響しない脆弱性がある可能性があるため、Weblate のバグ修正バージョンをリリースしても解決されません。
Docker コンテナのセキュリティ¶
Docker コンテナは CI 内でセキュリティ脆弱性のスキャンが行われます。これにより、脆弱性を早期に検出し、迅速に改善をリリースできます。
このスキャンの結果は GitHub から取得できます。— これは SARIF(静的解析結果交換フォーマット) で CI に成果物として保存されます。