依存関係¶
ソフトウェア部品表¶
Weblate には、CycloneDX 形式を使用した Software Bill of Material(SBOM)がソースコードのコア部分に含まれており、docs/specs/sbom/sbom.json として提供されています。これにより、依存関係に関するセキュリティ上の問題やライセンス遵守状況を確認できます。
脆弱性の依存関係の追跡¶
依存関係のセキュリティ問題は、Renovate を使用して監視されます。これは Python と JavaScript ライブラリを含み、最新の安定版リリースでは脆弱性を避けるために依存関係が更新されています。
ヒント
サード パーティのライブラリには、Weblate に影響しない脆弱性がある可能性があるため、Weblate のバグ修正バージョンをリリースしても解決されません。
Docker コンテナのセキュリティ¶
Docker コンテナは CI 内でセキュリティ脆弱性のスキャンが行われます。これにより、脆弱性を早期に検出し、迅速に改善をリリースできます。
このスキャンの結果は GitHub から取得できます。— これは SARIF(静的解析結果交換フォーマット) で CI に成果物として保存されます。