Залежності

Специфікація матеріалів програмного забезпечення

Weblate постачається з специфікацією програмного забезпечення (SBOM) у вихідному коді як docs/specs/sbom/sbom.json у форматі CycloneDX. Його можна використовувати для перевірки залежностей на предмет безпеки або відповідності ліцензії.

Стеження за вразливостями у залежностях

Ми стежимо за вадами у захисті наших залежностей за допомогою Renovate. Перевірки стосуються бібліотек Python і JavaScript, а найсвіжіший стабільний випуск має містити кориговані залежності з метою уникнення вразливостей.

Підказка

Можуть траплятися вразливості у сторонніх бібліотеках, які не впливають на роботу Weblate. Ми не намагаємося окремо усунути ці вразливості у випусках із виправленнями вад Weblate.

Захист контейнерів Docker

Контейнери Docker скануються на наявність вразливостей безпеки в нашій неперервній інтеграції. Це дозволяє нам виявляти вразливості на ранній стадії та швидко випускати покращення.

Ви можете отримати результати цих сканувань на GitHub — вони зберігаються як артефакти в нашому КІ як SARIF.

Дивись також

• Неперервна інтеграція

• Ремонт

• Anchore