Запуск анализа¶
Ручной запуск анализа¶
Композиционный анализ (SCA) запускается автоматически сразу при добавлении проекта. Для ручного запуска анализа по проекту необходимо использовать кнопку Run Now на странице проекта в разделе Projects
.
Также анализ можно запустить на все проекты и на каждый модуль (SCA, Quality, Authors) отдельно. Управление запуском общего анализа происходит в разделе Settings -> Workmode
.
Важно! Для получения корректных результатов нужно запустить анализ последовательно для каждого модуля, предварительно дождавшись завершения предыдущего запуска. Порядок запуска:
- Software Composition Analysis (SCA)
- Authors Analysis
- Quality Analysis
Прогресс выполнения анализа можно отслеживать по сообщениям в разделе Settings -> Audit log
.
Первый запуск Authors analysis может выполняться заметное время, так как происходит траверс всей истории репозитория. Последующие запуски будут разбирать только разницу в коммитах по обновлениям с последнего запуска.
Анализ по расписанию¶
Помимо ручного запуска, можно настроить анализ отдельных проектов по расписанию.
Управление происходит на странице проекта в разделе Settings -> Projects
.
По умолчанию параметр Scan Schedule имеет значение Off. Для активации анализа по расписанию необходимо выбрать один из двух вариантов:
- Daily – ежедневный анализ;
- Weekly – еженедельный анализ.
История результатов сканирования¶
На каждый анализ проекта в рамках модуля SCA сохраняется снепшот результатов по найденным зависимостям и уязвимостям. Чтобы увидеть список доступных снепшотов, необходимо зайти на вкладку SCA на странице проекта и нажать на кнопку SCA scan history.
Снепшот содержит следующие данные:
- Started at – дата сканирования проекта. Дата последнего сканирования отмечается зеленым лейблом latest;
- Startup type – тип запуска, ручной или по расписанию;
- User – пользователь, запустивший сканирование. Для запусков по расписанию указывается значение “system”;
- VCS reference – ветка и SHA коммита (для VCS проектов);
- Dependencies count – число найденных зависимостей;
- Vulnerabilities count – число найденных уязвимостей;
- Status – статус завершенного сканирования. Может иметь три возможных значения – success, failed или cancelled.
По кнопке в правой части списка доступно скачивание SBOM, сгенерированного во время проведения анализа, а также экспорт отчета в PDF.