Зависимости

Спецификация программного обеспечения (SBOM)

Weblate публикует спецификацию программного обеспечения (SBOM) в формате CycloneDX для выпущенных версий. SBOM доступен в виде версионированного файла weblate-<version>-sbom.cdx.json в ресурсах выпусков GitHub и также прикреплён к происхождению выпуска с использованием аттестаций артефактов GitHub. Это можно использовать для проверки зависимостей на предмет проблем безопасности или соответствия лицензиям.

SBOM выпуска записывает метаданные на уровне документа для минимальных элементов CISA 2025, включая автора SBOM, производителя программного обеспечения, инструменты генерации, временную метку, контекст генерации и идентификацию компонента выпуска Weblate. Детали компонентов зависимостей предоставляются генераторами SBOM экосистемы, используемыми во время выпуска. Поэтому полнота лицензий и хэшей компонентов Python зависит от поддержки экспорта CycloneDX в uv.

Отслеживание зависимостей для реагирования на уязвимости

Проблемы безопасности в наших зависимостях отслеживаются с помощью Renovate. Это охватывает библиотеки Python и JavaScript, и в последнем стабильном выпуске его зависимости обновлены, чтобы избежать уязвимостей.

Подсказка

В сторонних библиотеках могут быть присутствовать уязвимости, которые не влияют на работу Weblate, поэтому они не решаются выпуском исправленных версий Weblate.

Безопасность Docker-контейнера

Контейнеры Docker сканируются на предмет уязвимостей безопасности в нашем CI. Это позволяет нам обнаруживать уязвимости на раннем этапе и быстро выпускать улучшения.

Вы можете получить результаты этих сканирований на GitHub — они хранятся как артефакты в нашем CI в формате SARIF.

См. также

• Непрерывная интеграция

• Renovate

• Anchore