Зависимости

Спецификация программного обеспечения (SBOM)

Weblate публикует спецификацию программного обеспечения (SBOM) в формате CycloneDX для выпущенных версий. SBOM доступен в виде версионированного файла weblate-<version>-sbom.cdx.json в ресурсах выпусков GitHub и также прикреплён к происхождению выпуска с использованием аттестаций артефактов GitHub. Это можно использовать для проверки зависимостей на предмет проблем безопасности или соответствия лицензиям.

Отслеживание зависимостей для реагирования на уязвимости

Проблемы безопасности в наших зависимостях отслеживаются с помощью Renovate. Это охватывает библиотеки Python и JavaScript, и в последнем стабильном выпуске его зависимости обновлены, чтобы избежать уязвимостей.

Подсказка

В сторонних библиотеках могут быть присутствовать уязвимости, которые не влияют на работу Weblate, поэтому они не решаются выпуском исправленных версий Weblate.

Безопасность Docker-контейнера

Контейнеры Docker сканируются на предмет уязвимостей безопасности в нашем CI. Это позволяет нам обнаруживать уязвимости на раннем этапе и быстро выпускать улучшения.

Вы можете получить результаты этих сканирований на GitHub — они хранятся как артефакты в нашем CI в формате SARIF.

См. также

• Непрерывная интеграция

• Renovate

• Anchore