依赖项¶
软件物料清单¶
Weblate publishes a Software Bill of Material (SBOM) using the CycloneDX
format for released versions. The SBOM is available as a versioned
weblate-<version>-sbom.cdx.json file in the GitHub release assets and
is also attached to the release provenance using GitHub artifact attestations.
This can be used to review the dependencies for security issues or license
compliance.
跟踪漏洞的依赖关系¶
我们使用 Renovate 来监控我们依赖关系中的安全问题。这涵盖了Python和JavaScript库,最新的稳定版已经更新了其依赖关系,以避免漏洞。
提示
第三方库中可能存在不影响Weblate的漏洞,所以这些漏洞不会通过发布Weblate的错误修复版本来解决。
Docker 容器安全¶
在我们的 CI 中会对 Docker 容器进行安全漏洞扫描。这使我们能够及早发现漏洞并快速发布改进措施。
你可以在 GitHub 上获得这些扫描的结果 — 它们作为制品存储在我们的 CI 上,格式为 SARIF。