Выгрузка результатов анализа¶
Выгрузка в CSV¶
Каждую таблицу с результатами анализа в CodeScoring можно выгрузить в формате CSV, используя кнопку Export в правом верхнем углу интерфейса.
CSV-таблица будет учитывать использованные на момент выгрузки фильтры, а также видимость колонок.
Формирование PDF-отчета по проекту¶
После проведения композиционного анализа на странице проекта становится доступным формирование PDF-отчета со сводной информацией по проекту.
Экспортировать PDF-отчет с данными последнего анализа можно на странице проекта по кнопке Export PDF. Экспортировать отчет по анализу за определенную дату можно на странице SCA Scan History.
Полученный отчет содержит следующие данные:
- общая информация по проекту (название, ветка VCS, время проведения последнего анализа, хэш коммита);
- распределение уязвимостей по CVSS;
- распределение уязвимостей по технологиям;
- таблица найденных зависимостей с разделением по технологиям и окружению разработки;
- таблица найденных уязвимостей с разделением по технологиям и окружению разработки;
- граф зависимостей в виде дерева.
Работа со SBOM в рамках проекта¶
После проведения композиционного анализа проекта становится доступна выгрузка полученного перечня используемых компонентов (SBoM) в формате CycloneDX.
Выгрузить полученный SBoM можно на странице проекта в разделе Projects по кнопке Export SBoM.
Экспорт SBoM поддерживается в следующих форматах:
- CycloneDX v1.4 JSON;
- CycloneDX v1.5 JSON;
- CycloneDX v1.6 JSON;
- CycloneDX v1.6 Ext JSON – расширенный формат CycloneDX, содержащий дополнительные свойства:
GOST:attack_surface,GOST:security_function,GOST:source_lang. Формат адаптирован под дополнительные требования к перечню программных компонентов от ФСТЭК России.
Для CLI-проектов также доступна загрузка SBoM через интерфейс по кнопке Import SBoM. Загружаемый SBOM должен быть в формате CycloneDX и иметь расширение .json.
Настройка свойств зависимостей для выгрузки в SBoM¶
Для настройки свойств зависимостей необходимо перейти на страницу по кнопке Configure BOM в таблице Dependencies проекта.
Страница позволяет указать поверхность атаки (Attack surface), функцию безопасности (Security function) и систему хранения кода (VCS) для каждого компонента проекта.
Введенные значения учитываются:
- при экспорте SBoM со страницы проекта;
- при экспорте SBoM со страницы истории результатов сканирования (для самого последнего успешного SCA-сканирования);
- при последующих сканированиях проекта;
- при сканировании проекта через консольный агент Johnny.
Важно: изменения значений не применяются к предыдущим сканированиям проекта и относятся только к SBoM текущего проекта, даже если зависимость используется в нескольких проектах.
VCS¶
Поле VCS позволяет указать URL-адрес репозитория, в котором хранится код зависимости. При экспорте SBoM выбранное значение учитывается в поле externalReferences.
Attack surface¶
Поле Attack surface позволяет указать принадлежность компонента к поверхности атаки. Можно выбрать одно из следующих значений:
yes— компонент входит в непосредственную поверхность атаки;indirect— компонент входит в косвенную поверхность атаки;no— иной случай (значение по умолчанию).
При экспорте SBoM в формате CycloneDX v1.6 Ext JSON выбранное значение учитывается в свойстве GOST:attack_surface компонента.
Security function¶
Поле Security function позволяет указать принадлежность компонента к функциям безопасности средства защиты информации. Можно выбрать одно из следующих значений:
yes— если функции компонента непосредственно реализуют функции безопасности;indirect— если функции компонента участвуют в реализации функций безопасности, взаимодействуя с компонентами, реализующими функции безопасности;no— если функции компонента не участвуют в реализации функций безопасности (значение по умолчанию).
При экспорте SBoM в формате CycloneDX v1.6 Ext JSON выбранное значение учитывается в свойстве "GOST:security_function" компонента.