Beroenden

Programvaruförteckning

Weblate publishes a Software Bill of Material (SBOM) using the CycloneDX format for released versions. The SBOM is available as a versioned weblate-<version>-sbom.cdx.json file in the GitHub release assets and is also attached to the release provenance using GitHub artifact attestations. This can be used to review the dependencies for security issues or license compliance.

The release SBOM records document-level metadata for the CISA 2025 minimum elements, including the SBOM author, software producer, generation tools, timestamp, generation context, and Weblate release component identity. Dependency component details are emitted by the ecosystem SBOM generators used during the release. Python component license and hash completeness therefore depends on CycloneDX export support in uv.

Spåra beroenden för sårbarheter

Säkerhetsfrågor i våra beroenden övervakas med hjälp av Renovate. Detta omfattar Python- och JavaScript-biblioteken, och den senaste stabila versionen har uppdaterade beroenden för att undvika sårbarheter.

Råd

Det kan finnas sårbarheter i tredjepartsbibliotek som inte påverkar Weblate, så dessa åtgärdas inte genom att släppa buggfixversioner av Weblate.

Säkerhet för Docker-containrar

Docker-containrarna skannas efter säkerhetsproblem i vår CI. Detta gör att vi kan upptäcka sårbarheter tidigt och snabbt släppa förbättringar.

Du kan få resultaten av dessa skanningar på GitHub — de lagras som artefakter på vår CI som SARIF.

Se även

• Kontinuerlig integration

• Renovera <https://www.mend.io/renovate/>_

• Anchore