சார்புநிலைகள்

இந்தப் பக்கம் சார்பு இருப்பு, பாதிப்பு கண்காணிப்பு, சார்பு சோதனை மற்றும் கொள்கலன் பாதிப்பு ச்கேனிங் ஆகியவற்றை விவரிக்கிறது. வெளியிடப்பட்ட வெளியீட்டு கலைப்பொருட்கள், SBOMகள், கையொப்பங்கள் மற்றும் ஆதார சான்றொப்பங்கள், பார்க்க கலைப்பொருட்கள் மற்றும் சரிபார்ப்பு வெளியீடு.

சார்பு சரக்கு

வலைபெயர்ப்பு சார்பு செய்தி பல களஞ்சிய கோப்புகளில் பராமரிக்கப்படுகிறது:

  • பைதான் சார்புகள் pyproject.toml இல் அறிவிக்கப்பட்டு uv.lock இல் தீர்க்கப்படும்.

  • முகப்பு சார்புகள் client/package.json இல் அறிவிக்கப்பட்டு client/yarn.lock இல் தீர்க்கப்படும்.

  • விற்பனை செய்யப்பட்ட முன்பக்கம் நூலகங்கள் மற்றும் உருவாக்கப்பட்ட உரிமத் தரவு துணைத் திட்டங்கள் மற்றும் உட்பொதிக்கப்பட்ட குறியீடு இல் ஆவணப்படுத்தப்பட்டுள்ளன.

  • பொருள் மென்பொருள் மசோதா இல் விவரிக்கப்பட்டுள்ளபடி வலைபெயர்ப்பு வெளியீடுகளுக்காக வெளியீடு SBOMகள் வெளியிடப்படுகின்றன.

  • கலைப்பொருள் சரக்குகளை வெளியிடவும் இல் பட்டியலிடப்பட்டுள்ள Weblate-க்குச் சொந்தமான Docker மற்றும் Helm களஞ்சியங்களில் கப்பல்துறை படம் மற்றும் எல்ம் விளக்கப்பட சார்புகள் பராமரிக்கப்படுகின்றன.

pyproject.toml இல் சார்பு வரம்புகள் ஆதரிக்கப்படும் இயக்க நேரத் தேவைகளை விவரிக்கின்றன. பூட்டு கோப்புகள் தொஒ மற்றும் வெளியீட்டு ஆட்டோமேசனால் பயன்படுத்தப்படும் சோதிக்கப்பட்ட சார்பு தொகுப்பை விவரிக்கிறது.

பாதிப்புகளுக்கான சார்புநிலைகளைக் கண்காணித்தல்

வலைபெயர்ப்பு சார்புகளில் உள்ள பாதுகாப்புச் சிக்கல்கள் Renovate, GitHub சார்பு மதிப்பாய்வு, FOSSA, வெளியீடு SBOMகள் மற்றும் கண்டெய்னர் பாதிப்பு ச்கேன்களைப் பயன்படுத்தி கண்காணிக்கப்படுகின்றன.

வலைபெயர்ப்பு களஞ்சியங்கள் பகிரப்பட்ட ரெனோவேட் முன்னமைவை WeblateOrg/meta இலிருந்து நீட்டிக்கிறது. அந்த முன்னமைவு சார்பு டாச்போர்டு, OSV பாதிப்பு விழிப்பூட்டல்கள், இயங்குதள பாதிப்பு விழிப்பூட்டல்கள், சொற்பொருள் சார்பு கமிட்கள் மற்றும் GitHub செயல்கள், Dockerfiles, எல்ம் சார்ட் பயன்பாட்டு பதிப்புகள் மற்றும் பிற பின் செய்யப்பட்ட கருவி பதிப்புகளுக்கான தனிப்பயன் மேலாளர்களைப் புதுப்பிக்கிறது. இது தேர்ந்தெடுக்கப்பட்ட தொகுப்பு குழுவாக்கம், அட்டவணைகள் மற்றும் தன்னியக்க நடத்தை ஆகியவற்றை உள்ளமைக்கிறது.

இந்தக் களஞ்சியமானது முதன்மை மற்றும் நிலையானது ஆகியவற்றைப் புதுப்பிக்கும் அடிப்படைக் கிளைகளாகச் சேர்க்கிறது. பொதுவான சார்பு புதுப்பிப்புகள் மற்றும் லாக்ஃபைல் பராமரிப்பு ஆகியவை நிலையான இல் முடக்கப்பட்டுள்ளன; வலைபெயர்ப்பு வெளியீடுகளுக்கான பாதுகாப்பு மேம்படுத்தல் கவரேச் பாதுகாப்பு புதுப்பிப்புகள் இல் விவரிக்கப்பட்டுள்ளது.

GitHub dependency review runs on pull requests to show dependency changes before they are merged. FOSSA runs on pushes to main and records scan and policy-test results in the FOSSA service.

சார்பு பாதிப்பு சோதனை

Renovate, GitHub சார்பு மதிப்பாய்வு, FOSSA, வெளியீடு SBOM மதிப்பாய்வு, கண்டெய்னர் வருடு அல்லது பாதிப்பு அறிக்கை ஆகியவற்றால் சார்பு பாதிப்பு தெரிவிக்கப்படும்போது, அது வலைபெயர்ப்பு ஐப் பாதிக்கிறதா என்பதை பராமரிப்பாளர்கள் மதிப்பிடுகின்றனர். சோதனைச் சோதனைகளில் பின்வருவன அடங்கும்:

  • பாதிக்கப்பட்ட சார்பு மற்றும் பதிப்பு Weblate, வெளியிடப்பட்ட வெளியீட்டு கலைப்பொருள் அல்லது பராமரிக்கப்படும் வரிசைப்படுத்தல் கலைப்பொருளால் பயன்படுத்தப்படுகிறதா;

  • ஆதரிக்கப்படும் வலைபெயர்ப்பு செயல்பாடு அல்லது ஆதரிக்கப்படும் வரிசைப்படுத்தல் முறைகள் மூலம் பாதிக்கப்படக்கூடிய குறியீடு பாதையை அடைய முடியுமா;

  • வெப்லேட்டின் சார்புநிலையைப் பயன்படுத்துவதில் சிக்கல் உள்ளதா அல்லது மேலோடை திட்டத்தில் தெரிவிக்கப்பட வேண்டுமா;

  • சார்பு புதுப்பித்தல், உள்ளமைவு மாற்றம், தணித்தல், அறிவுரை அல்லது வலைபெயர்ப்பு பாதுகாப்பு புதுப்பிப்பு தேவையா.

Hint

வலைபெயர்ப்பை பாதிக்காத மூன்றாம் தரப்பு நூலகங்களில் பாதிப்புகள் இருக்கலாம், எனவே அவை வலைபெயர்ப்புடின் பக்ஃபிக்ச் பதிப்புகளை வெளியிடுவதன் மூலம் நிவர்த்தி செய்யப்படுவதில்லை.

சார்பு மற்றும் லாக்ஃபைல் பராமரிப்பு

The Python lock file is maintained by the uv lock update workflow. The frontend dependency lock file and vendored frontend files are maintained by the yarn update workflow.

உருவாக்கப்பட்ட பராமரிப்பு மாற்றங்கள் பராமரிப்பு பேட்சைப் பயன்படுத்து பணிப்பாய்வு மூலம் அனுப்பப்படும். அந்த பணிப்பாய்வு சரிபார்க்கப்பட்ட ஒட்டு கலைப்பொருட்களை மட்டுமே பயன்படுத்துகிறது மற்றும் ஒவ்வொரு பராமரிப்பு பணிப்பாய்வு புதுப்பிக்க அனுமதிக்கப்படும் பாதைகளையும் கட்டுப்படுத்துகிறது.

டாக்கர் கொள்கலன் பாதுகாப்பு

வலைபெயர்ப்பு மற்றும் வலைபெயர்ப்பு வாங்கி கப்பல்துறை கண்டெய்னர்கள் தொஒ இல் உள்ள பாதுகாப்பு குறைபாடுகளுக்காக வருடு செய்யப்படுகின்றன. இது பாதிப்புகளை முன்கூட்டியே கண்டறிந்து, மேம்பாடுகளை விரைவாக வெளியிட அனுமதிக்கிறது.

ஆய்வு செய்யப்பட்ட வலைபெயர்ப்பு Docker மற்றும் வலைபெயர்ப்பு Client பணிப்பாய்வுகள் Anchore மற்றும் Trivy உடன் கட்டப்பட்ட கொள்கலன் படங்களை வருடு செய்கின்றன. முடிவுகள் அறிவிலிமையம் குறியீடு ச்கேனிங்கில் SARIF தரவு என பதிவேற்றப்படும். ஆய்வு செய்யப்பட்ட பணிப்பாய்வுகள் Trivy SARIF கலைப்பொருட்களையும் சேமித்து வைக்கின்றன, மேலும் வலைபெயர்ப்பு Client பணிப்பாய்வு Anchore SARIF கலைப்பொருட்களை சேமிக்கிறது.

அறியப்பட்ட வெளி கொள்கை விவரங்கள்

சில சார்பு மற்றும் பாதிப்பு-மேலாண்மை விவரங்கள் இந்த ஆவணத்திற்கு வெளியே பராமரிக்கப்படுகின்றன:

  • முழுமையான புதுப்பித்தல் நடத்தை பகிரப்பட்ட WeblateOrg/meta முன்னமைவு மற்றும் களஞ்சிய இயங்குதள அமைப்புகளில் வரையறுக்கப்படுகிறது;

  • GitHub சார்பு வரைபடம், Dependabot முன்னறிவிப்பு மற்றும் கிளை-பாதுகாப்பு நிலை ஆகியவை GitHub இயங்குதள கட்டமைப்பு ஆகும்;

  • FOSSA முடிவு வரலாறு மற்றும் கொள்கை வரம்புகள் FOSSA இல் சேமிக்கப்படுகின்றன;

  • ச்கேனர் வெளியீடு அறிவிலிமையம் குறியீடு ச்கேனிங் மற்றும் பணிப்பாய்வு கலைப்பொருட்களில் சேமிக்கப்படுகிறது.