Перейти к содержанию

Работа с консольным агентом

Консольный агент Johnny предоставляется совместно с on-premise версией CodeScoring.

Агент — это исполняемый бинарный файл, осуществляющий парсинг манифестов известных пакетных менеджеров, сканирование Docker-образов, анализ сборки С и С++, разбор архивов и поиск прямых включений Open Source библиотек по хэшам. Агент работает в паре с инсталляцией, получая от нее обогащенные данные об уязвимостях, лицензиях и настроенных политиках, а также сохраняя результаты сканирования в CLI проекты.

По умолчанию предоставляется сборка агента для Linux-совместимых систем. По запросу доступны сборки под Windows и MacOS. Скачать исполняемый файл агента можно через инсталляцию, используя следующие адреса:

  • [installation-url]/download/ – страница со списком доступных исполняемых файлов;
  • [installation-url]/download/johnny_version – актуальная версия консольного агента;
  • [installation-url]/download/ – загрузка исполняемого файла.

Для просмотра актуальной версии и загрузки файла необходима авторизация по API-токену.

Принцип работы

При работе в режиме сканирования директорий с исходным кодом, агент рекурсивно обходит директорию, указанную в параметрах запуска, и осуществляет поиск и разбор манифестов известных пакетных менеджеров.

В режиме сканирования образов агент исследует файловую систему указанного образа, производя инвентаризацию компонентного состава.

По окончанию работы формируется SBOM файл, и в консоль выводится информация о найденных уязвимостях и сработавших политиках.

Пример вывода найденных уязвимостей:

Johnny example with vulnerabilities

Пример вывода сработавших политик:

Johnny example with policy alerts