Перейти к содержанию

Управление проектами

Проект в CodeScoring – это часть анализируемой кодовой базы. В системе возможно создать два типа проектов:

  • VCS-проект – связан с репозиторием в системе контроля версий;
  • CLI-проект – не имеет привязки к репозиторию и позволяет сохранять результаты сканирования от консольного агента johnny или загрузить готовый SBoM-файл.

Управление проектами происходит в разделе Настройки->Проекты.

Создание VCS-проекта

Важно! Создать VCS-проект получится только после создания подключения к системе контроля версий.

Для перехода на форму создания VCS-проекта необходимо нажать на кнопку Создать и выбрать вкладку VCS проекты. Выбранный при создании тип проекта нельзя перевести в другой.

VCS Project

  1. Для добавления проекта необходимо добавить в форме ссылку на репозиторий, выбрать соответствующую систему контроля версий из списка, задать название проекта и опцию запуска SCA анализа сразу после клонирования.
  2. После добавления происходит первоначальное клонирование проекта, время которого будет зависеть от размера репозитория.
  3. После клонирования проект будет доступен для редактирования и новых анализов.

Система принимает ссылки на репозитории в следующих форматах:

  • GitLab
    • <http/https>://<GitLab Server URL>/<group>/<project
  • GitHub
    • https://github.com/<ursername/organisation>/<project>
  • BitBucket
    • <http/https>://<Bitbucket Server URL>/scm/<group>/<project>
  • Azure DevOps Git
    • https://<organisation>.visualstudio.com/<group>/_git/<project>
    • https://dev.azure.com/<organisation>/<group>/_git/<project>
    • <http/https>://<Azure Server URL>/<organisation>/<group>/_git/<project>

После добавления репозитория на странице настроек VCS-проекта доступно ручное обновление кода проекта по кнопке Обновить код проекта.

Внимание! Если анализируемый проект коммерческий, то рекомендуется указать для него категорию лицензии Commercial License для корректной работы политики по лицензионной совместимости компонентов.

Создание CLI-проекта

Для перехода на форму создания CLI-проекта необходимо нажать на кнопку Create new и выбрать вкладку CLI Projects.

Для добавления проекта достаточно заполнить его название в поле Name.

Создание категорий проектов

Категории используются для группировки проектов системы по смысловым группам.

Управление категориями происходит в разделе Настройки -> Категории. Перейти на форму создания категории можно по кнопке Создать. Для создания категории достаточно задать ей название.

Работа со SBoM в рамках проекта

После проведения анализа проекта становится доступна выгрузка полученного списка используемых компонентов (SBoM) в формате CycloneDX.

Выгрузить полученный SBoM можно на странице проекта в разделе Проекты по кнопке Экспорт SBoM.

Экспорт SBoM поддерживается в следующих форматах:

  • CycloneDX v1.4 JSON;
  • CycloneDX v1.5 JSON;
  • CycloneDX v1.6 JSON;
  • CycloneDX v1.6 Ext JSON -- расширенный формат CycloneDX, содержащий дополнительные свойства компонентов: GOST:attack_surface, GOST:security_function, GOST:source_lang.

Настроить свойства компонентов при экспорте можно на странице настройки зависимостей проекта.

Для CLI-проектов также доступна загрузка SBoM через интерфейс по кнопке Импорт SBoM. Загружаемый SBoM должен быть в формате CycloneDX и иметь расширение .json.

Формирование PDF-отчета по проекту

После проведения анализа также становится доступным формирование PDF-отчета со сводной информацией по проекту.

Экспортировать PDF-отчет с данными последнего анализа можно на странице проекта по кнопке Export PDF. Экспортировать отчет по анализу за определенную дату можно на странице История сканирований SCA.

Полученный отчет содержит следующие данные:

  • Общая информация по проекту (название, ветка VCS, время проведения последнего анализа, хэш коммита);
  • Распределение уязвимостей по CVSS;
  • Распределение уязвимостей по технологиям;
  • Таблица найденных зависимостей с разделением по технологиям и окружению разработки;
  • Таблица найденных уязвимостей с разделением по технологиям и окружению разработки.