Afhankelijkheden

Software materiaallijst

Weblate bevat een Software Bill of Material (SBOM) in de indeling CycloneDX voor uitgegeven versies. De SBOM is beschikbaar als een geversioneerd bestand weblate-<version>-sbom.cdx.json in de GitHub release assets en is ook bijgesloten bij de herkomst van de uitgave met GitHub artefact-attesten. Dit kan worden gebruikt om de afhankelijkheden na te kijken voor problemen met beveiliging of conformiteit met de licentie.

De uitgave SBOM legt document-niveaumetadata vast voor de CISA 2025-minimumelementen, inclusief de auteur van SBOM, softwareproducer, programma’s voor maken, tijdstempel, context van maken en identiteit van het Weblate-uitgaveonderdeel. Details over afhankelijkheid van onderdelen worden weggelaten door het ecosysteem van SBOM-generatoren die bij de uitgave worden gebruikt. Python-onderdeelslicentie en volledigheid van de hash zijn daarom afhankelijk van de ondersteuning van CycloneDX export in uv.

Afhankelijkheden bijhouden voor kwetsbaarheden

Beveiligingsproblemen in onze afhankelijkheden worden gemonitord met Renovate. Dit omvat de bibliotheken voor Python en JavaScript, en de laatste stabiele uitgave heeft zijn afhankelijkheden bijgewerkt om kwetsbaarheden te vermijden.

Hint

Er zouden kwetsbaarheden in bibliotheken van derde partijen kunnen zijn die Weblate niet beïnvloeden, die worden dus niet aangepakt bij het uitgeven van versies met reparaties voor problemen van Weblate.

Docker container beveiliging

De containers van Docker worden gescand op kwetsbaarheden in de beveiliging in onze CI. Dat stelt ons in staat kwetsbaarheden vroeg te detecteren en snel verbeteringen uit te geven.

U kunt de resultaten van deze scans zien op GitHub — zij worden opgeslagen als artefacten op onze CI als SARIF.

Zie ook

• Doorlopende integratie

• Renovate

• Anchore