Залежності

Специфікація матеріалів програмного забезпечення

Weblate publishes a Software Bill of Material (SBOM) using the CycloneDX format for released versions. The SBOM is available as a versioned weblate-<version>-sbom.cdx.json file in the GitHub release assets and is also attached to the release provenance using GitHub artifact attestations. This can be used to review the dependencies for security issues or license compliance.

Стеження за вразливостями у залежностях

Ми стежимо за вадами у захисті наших залежностей за допомогою Renovate. Перевірки стосуються бібліотек Python і JavaScript, а найсвіжіший стабільний випуск має містити кориговані залежності з метою уникнення вразливостей.

Підказка

Можуть траплятися вразливості у сторонніх бібліотеках, які не впливають на роботу Weblate. Ми не намагаємося окремо усунути ці вразливості у випусках із виправленнями вад Weblate.

Захист контейнерів Docker

Контейнери Docker скануються на наявність вразливостей безпеки в нашій неперервній інтеграції. Це дозволяє нам виявляти вразливості на ранній стадії та швидко випускати покращення.

Ви можете отримати результати цих сканувань на GitHub — вони зберігаються як артефакти в нашому КІ як SARIF.

Дивись також

• Неперервна інтеграція

• Ремонт

• Anchore