依赖项¶
软件物料清单¶
Weblate 为已发布版本发布一份使用 CycloneDX 格式的软件物料清单 (SBOM)。该 SBOM 是一份 GitHub release assets 中支持版本的 weblate-<version>-sbom.cdx.json 文件,并用 GitHub artifact 证明附加到发布来源。这可被用于检查依赖项的安全问题或许可证合规性。
The release SBOM records document-level metadata for the CISA 2025 minimum elements, including the SBOM author, software producer, generation tools, timestamp, generation context, and Weblate release component identity. Dependency component details are emitted by the ecosystem SBOM generators used during the release. Python component license and hash completeness therefore depends on CycloneDX export support in uv.
跟踪漏洞的依赖关系¶
我们使用 Renovate 来监控我们依赖关系中的安全问题。这涵盖了Python和JavaScript库,最新的稳定版已经更新了其依赖关系,以避免漏洞。
提示
第三方库中可能存在不影响Weblate的漏洞,所以这些漏洞不会通过发布Weblate的错误修复版本来解决。
Docker 容器安全¶
在我们的 CI 中会对 Docker 容器进行安全漏洞扫描。这使我们能够及早发现漏洞并快速发布改进措施。
你可以在 GitHub 上获得这些扫描的结果 — 它们作为制品存储在我们的 CI 上,格式为 SARIF。