依赖项

软件物料清单

Weblate 源码核心包含了一份软件物料清单，具体文件为 docs/specs/sbom/sbom.json，使用 CycloneDX 格式。这可被用于检查依赖项的安全问题或许可证合规性。

跟踪漏洞的依赖关系

我们使用 Renovate 来监控我们依赖关系中的安全问题。这涵盖了Python和JavaScript库，最新的稳定版已经更新了其依赖关系，以避免漏洞。

提示

第三方库中可能存在不影响Weblate的漏洞，所以这些漏洞不会通过发布Weblate的错误修复版本来解决。

Docker 容器安全

在我们的 CI 中会对 Docker 容器进行安全漏洞扫描。这使我们能够及早发现漏洞并快速发布改进措施。

你可以在 GitHub 上获得这些扫描的结果 — 它们作为工件存储在我们的 CI 上，格式为 SARIF。

参见

持续集成, Renovate, Anchore