சார்புநிலைகள்¶
இந்தப் பக்கம் சார்பு இருப்பு, பாதிப்பு கண்காணிப்பு, சார்பு சோதனை மற்றும் கொள்கலன் பாதிப்பு ச்கேனிங் ஆகியவற்றை விவரிக்கிறது. வெளியிடப்பட்ட வெளியீட்டு கலைப்பொருட்கள், SBOMகள், கையொப்பங்கள் மற்றும் ஆதார சான்றொப்பங்கள், பார்க்க கலைப்பொருட்கள் மற்றும் சரிபார்ப்பு வெளியீடு.
சார்பு சரக்கு¶
வலைபெயர்ப்பு சார்பு செய்தி பல களஞ்சிய கோப்புகளில் பராமரிக்கப்படுகிறது:
பைதான் சார்புகள்
pyproject.tomlஇல் அறிவிக்கப்பட்டுuv.lockஇல் தீர்க்கப்படும்.முகப்பு சார்புகள்
client/package.jsonஇல் அறிவிக்கப்பட்டுclient/yarn.lockஇல் தீர்க்கப்படும்.விற்பனை செய்யப்பட்ட முன்பக்கம் நூலகங்கள் மற்றும் உருவாக்கப்பட்ட உரிமத் தரவு துணைத் திட்டங்கள் மற்றும் உட்பொதிக்கப்பட்ட குறியீடு இல் ஆவணப்படுத்தப்பட்டுள்ளன.
பொருள் மென்பொருள் மசோதா இல் விவரிக்கப்பட்டுள்ளபடி வலைபெயர்ப்பு வெளியீடுகளுக்காக வெளியீடு SBOMகள் வெளியிடப்படுகின்றன.
கலைப்பொருள் சரக்குகளை வெளியிடவும் இல் பட்டியலிடப்பட்டுள்ள Weblate-க்குச் சொந்தமான Docker மற்றும் Helm களஞ்சியங்களில் கப்பல்துறை படம் மற்றும் எல்ம் விளக்கப்பட சார்புகள் பராமரிக்கப்படுகின்றன.
pyproject.toml இல் சார்பு வரம்புகள் ஆதரிக்கப்படும் இயக்க நேரத் தேவைகளை விவரிக்கின்றன. பூட்டு கோப்புகள் தொஒ மற்றும் வெளியீட்டு ஆட்டோமேசனால் பயன்படுத்தப்படும் சோதிக்கப்பட்ட சார்பு தொகுப்பை விவரிக்கிறது.
பாதிப்புகளுக்கான சார்புநிலைகளைக் கண்காணித்தல்¶
வலைபெயர்ப்பு சார்புகளில் உள்ள பாதுகாப்புச் சிக்கல்கள் Renovate, GitHub சார்பு மதிப்பாய்வு, FOSSA, வெளியீடு SBOMகள் மற்றும் கண்டெய்னர் பாதிப்பு ச்கேன்களைப் பயன்படுத்தி கண்காணிக்கப்படுகின்றன.
வலைபெயர்ப்பு களஞ்சியங்கள் பகிரப்பட்ட ரெனோவேட் முன்னமைவை WeblateOrg/meta இலிருந்து நீட்டிக்கிறது. அந்த முன்னமைவு சார்பு டாச்போர்டு, OSV பாதிப்பு விழிப்பூட்டல்கள், இயங்குதள பாதிப்பு விழிப்பூட்டல்கள், சொற்பொருள் சார்பு கமிட்கள் மற்றும் GitHub செயல்கள், Dockerfiles, எல்ம் சார்ட் பயன்பாட்டு பதிப்புகள் மற்றும் பிற பின் செய்யப்பட்ட கருவி பதிப்புகளுக்கான தனிப்பயன் மேலாளர்களைப் புதுப்பிக்கிறது. இது தேர்ந்தெடுக்கப்பட்ட தொகுப்பு குழுவாக்கம், அட்டவணைகள் மற்றும் தன்னியக்க நடத்தை ஆகியவற்றை உள்ளமைக்கிறது.
இந்தக் களஞ்சியமானது முதன்மை மற்றும் நிலையானது ஆகியவற்றைப் புதுப்பிக்கும் அடிப்படைக் கிளைகளாகச் சேர்க்கிறது. பொதுவான சார்பு புதுப்பிப்புகள் மற்றும் லாக்ஃபைல் பராமரிப்பு ஆகியவை நிலையான இல் முடக்கப்பட்டுள்ளன; வலைபெயர்ப்பு வெளியீடுகளுக்கான பாதுகாப்பு மேம்படுத்தல் கவரேச் பாதுகாப்பு புதுப்பிப்புகள் இல் விவரிக்கப்பட்டுள்ளது.
GitHub dependency review runs on pull requests to show dependency changes
before they are merged. FOSSA runs on pushes to main and records scan
and policy-test results in the FOSSA service.
சார்பு பாதிப்பு சோதனை¶
Renovate, GitHub சார்பு மதிப்பாய்வு, FOSSA, வெளியீடு SBOM மதிப்பாய்வு, கண்டெய்னர் வருடு அல்லது பாதிப்பு அறிக்கை ஆகியவற்றால் சார்பு பாதிப்பு தெரிவிக்கப்படும்போது, அது வலைபெயர்ப்பு ஐப் பாதிக்கிறதா என்பதை பராமரிப்பாளர்கள் மதிப்பிடுகின்றனர். சோதனைச் சோதனைகளில் பின்வருவன அடங்கும்:
பாதிக்கப்பட்ட சார்பு மற்றும் பதிப்பு Weblate, வெளியிடப்பட்ட வெளியீட்டு கலைப்பொருள் அல்லது பராமரிக்கப்படும் வரிசைப்படுத்தல் கலைப்பொருளால் பயன்படுத்தப்படுகிறதா;
ஆதரிக்கப்படும் வலைபெயர்ப்பு செயல்பாடு அல்லது ஆதரிக்கப்படும் வரிசைப்படுத்தல் முறைகள் மூலம் பாதிக்கப்படக்கூடிய குறியீடு பாதையை அடைய முடியுமா;
வெப்லேட்டின் சார்புநிலையைப் பயன்படுத்துவதில் சிக்கல் உள்ளதா அல்லது மேலோடை திட்டத்தில் தெரிவிக்கப்பட வேண்டுமா;
சார்பு புதுப்பித்தல், உள்ளமைவு மாற்றம், தணித்தல், அறிவுரை அல்லது வலைபெயர்ப்பு பாதுகாப்பு புதுப்பிப்பு தேவையா.
Hint
வலைபெயர்ப்பை பாதிக்காத மூன்றாம் தரப்பு நூலகங்களில் பாதிப்புகள் இருக்கலாம், எனவே அவை வலைபெயர்ப்புடின் பக்ஃபிக்ச் பதிப்புகளை வெளியிடுவதன் மூலம் நிவர்த்தி செய்யப்படுவதில்லை.
சார்பு மற்றும் லாக்ஃபைல் பராமரிப்பு¶
The Python lock file is maintained by the uv lock update workflow. The
frontend dependency lock file and vendored frontend files are maintained by the
yarn update workflow.
உருவாக்கப்பட்ட பராமரிப்பு மாற்றங்கள் பராமரிப்பு பேட்சைப் பயன்படுத்து பணிப்பாய்வு மூலம் அனுப்பப்படும். அந்த பணிப்பாய்வு சரிபார்க்கப்பட்ட ஒட்டு கலைப்பொருட்களை மட்டுமே பயன்படுத்துகிறது மற்றும் ஒவ்வொரு பராமரிப்பு பணிப்பாய்வு புதுப்பிக்க அனுமதிக்கப்படும் பாதைகளையும் கட்டுப்படுத்துகிறது.
டாக்கர் கொள்கலன் பாதுகாப்பு¶
வலைபெயர்ப்பு மற்றும் வலைபெயர்ப்பு வாங்கி கப்பல்துறை கண்டெய்னர்கள் தொஒ இல் உள்ள பாதுகாப்பு குறைபாடுகளுக்காக வருடு செய்யப்படுகின்றன. இது பாதிப்புகளை முன்கூட்டியே கண்டறிந்து, மேம்பாடுகளை விரைவாக வெளியிட அனுமதிக்கிறது.
ஆய்வு செய்யப்பட்ட வலைபெயர்ப்பு Docker மற்றும் வலைபெயர்ப்பு Client பணிப்பாய்வுகள் Anchore மற்றும் Trivy உடன் கட்டப்பட்ட கொள்கலன் படங்களை வருடு செய்கின்றன. முடிவுகள் அறிவிலிமையம் குறியீடு ச்கேனிங்கில் SARIF தரவு என பதிவேற்றப்படும். ஆய்வு செய்யப்பட்ட பணிப்பாய்வுகள் Trivy SARIF கலைப்பொருட்களையும் சேமித்து வைக்கின்றன, மேலும் வலைபெயர்ப்பு Client பணிப்பாய்வு Anchore SARIF கலைப்பொருட்களை சேமிக்கிறது.
அறியப்பட்ட வெளி கொள்கை விவரங்கள்¶
சில சார்பு மற்றும் பாதிப்பு-மேலாண்மை விவரங்கள் இந்த ஆவணத்திற்கு வெளியே பராமரிக்கப்படுகின்றன:
முழுமையான புதுப்பித்தல் நடத்தை பகிரப்பட்ட WeblateOrg/meta முன்னமைவு மற்றும் களஞ்சிய இயங்குதள அமைப்புகளில் வரையறுக்கப்படுகிறது;
GitHub சார்பு வரைபடம், Dependabot முன்னறிவிப்பு மற்றும் கிளை-பாதுகாப்பு நிலை ஆகியவை GitHub இயங்குதள கட்டமைப்பு ஆகும்;
FOSSA முடிவு வரலாறு மற்றும் கொள்கை வரம்புகள் FOSSA இல் சேமிக்கப்படுகின்றன;
ச்கேனர் வெளியீடு அறிவிலிமையம் குறியீடு ச்கேனிங் மற்றும் பணிப்பாய்வு கலைப்பொருட்களில் சேமிக்கப்படுகிறது.