Перейти к содержанию

Запуск анализа

Ручной запуск анализа

Композиционный анализ (SCA) запускается автоматически сразу при добавлении проекта. Для ручного запуска анализа по проекту необходимо использовать кнопку Run Now на странице проекта в разделе Projects.

Также анализ можно запустить на все проекты и на каждый модуль (SCA, Quality, Authors) отдельно. Управление запуском общего анализа происходит в разделе Settings -> Workmode.

Важно! Для получения корректных результатов нужно запустить анализ последовательно для каждого модуля, предварительно дождавшись завершения предыдущего запуска. Порядок запуска:

  1. Software Composition Analysis (SCA)
  2. Authors Analysis
  3. Quality Analysis

Прогресс выполнения анализа можно отслеживать по сообщениям в разделе Settings -> Audit log.

Первый запуск Authors analysis может выполняться заметное время, так как происходит траверс всей истории репозитория. Последующие запуски будут разбирать только разницу в коммитах по обновлениям с последнего запуска.

Анализ по расписанию

Помимо ручного запуска, можно настроить анализ отдельных проектов по расписанию.

Управление происходит на странице проекта в разделе Settings -> Projects.

По умолчанию параметр Scan Schedule имеет значение Off. Для активации анализа по расписанию необходимо выбрать один из двух вариантов:

  • Daily – ежедневный анализ;
  • Weekly – еженедельный анализ.

История результатов сканирования

На каждый анализ проекта в рамках модуля SCA сохраняется снепшот результатов по найденным зависимостям и уязвимостям. Чтобы увидеть список доступных снепшотов, необходимо зайти на вкладку SCA на странице проекта и нажать на кнопку SCA scan history.

Scan history

Снепшот содержит следующие данные:

  • Started at – дата сканирования проекта. Дата последнего сканирования отмечается зеленым лейблом latest;
  • Startup type – тип запуска, ручной или по расписанию;
  • User – пользователь, запустивший сканирование. Для запусков по расписанию указывается значение “system”;
  • VCS reference – ветка и SHA коммита (для VCS проектов);
  • Dependencies count – число найденных зависимостей;
  • Vulnerabilities count – число найденных уязвимостей;
  • Status – статус завершенного сканирования. Может иметь три возможных значения – success, failed или cancelled.

По кнопке в правой части списка доступно скачивание SBOM, сгенерированного во время проведения анализа, а также экспорт отчета в PDF.

Scan history page