Запуск анализа
Ручной запуск анализа
SCA-анализ запускается автоматически сразу при добавления проекта. Для ручного запуска анализа по проекту необходимо использовать кнопку Run Now на странице проекта в разделе Projects
.
Также анализ можно запустить на все проекты и на каждый модуль (SCA, Quality, Authors) отдельно. Управление запуском общего анализа происходит в разделе Settings -> Workmode
.
Важно! Для получения корректных результатов нужно запустить анализ последовательно для каждого модуля, предварительно дождавшись завершения предыдущего запуска. Порядок запуска:
- Software Composition Analysis (SCA)
- Authors Analysis
- Quality Analysis
Прогресс выполнения анализа можно отслеживать по сообщениям в разделе Settings -> Audit log
.
Первый прогон Authors analysis может выполняться заметное время, т.к. происходит траверс всей истории репозитория. Последующие запуски будут разбирать только разницу в коммитах по обновлениям с последнего запуска.
Анализ по расписанию
Помимо ручного запуска, можно настроить анализ отдельных проектов по расписанию.
Управление происходит на странице проекта в разделе Settings -> Projects
.
По умолчанию параметр Scan Schedule имеет значение Off. Для активации анализа по расписанию необходимо выбрать один из двух вариантов:
- Daily – ежедневный анализ;
- Weekly – енеженедельный анализ.
История результатов сканирования
На каждый анализ проекта в рамках модуля SCA сохраняется снепшот результатов по найденным зависимостям и уязвимостям. Чтобы увидеть список доступных снепшотов, необходимо зайти на вкладку SCA на странице проекта и нажать на кнопку SCA scan history.
Снепшот содержит следующие данные:
- Started at – дата сканирования проекта. Дата последнего сканирования отмечается зеленым лейблом latest;
- Startup type – тип запуска, ручной или по расписанию;
- User – пользователь, запустивший сканирование. Для запусков по расписанию указывается значение “system”;
- VCS reference – ветка и SHA коммита (для VCS проектов);
- Dependencies count – число найденных зависимостей;
- Vulnerabilities count – число найденных уязвимостей.
По кнопке в правой части списка доступно скачивание SBOM, сгенерированного во время проведения анализа.
Важно: снепшоты сканирований сохраняются в историю c момента обновления инсталляции на версию CodeScoring 2023.35.0.