Перейти к содержанию

Управление проектами

Проект в CodeScoring – это часть анализируемой кодовой базы. В системе возможно создать два типа проектов:

  • VCS-проект – эквивалентен репозиторию в системе контроля версий.
  • CLI-проект – не имеет привязки к репозиторию и позволяет сохранять результаты сканирования от консольного агента johnny или загрузить готовый SBoM-файл.

Управление проектами происходит в разделе Settings->Projects.

Создание VCS-проекта

Важно! Создать VCS-проект получится только после создания подключения к системе контроля версий.

Для перехода на форму создания VCS-проекта необходимо нажать на кнопку Create new и выбрать вкладку VCS Projects. Выбранный при создании тип проекта нельзя перевести в другой.

  1. Для добавления проекта необходимо добавить в форме ссылку на репозиторий и выбрать соответствующую систему контроля версий из списка.
  2. После добавления происходит первоначальное клонирование проекта, время которого будет зависеть от размера репозитория.
  3. После клонирования проект будет доступен для редактирования и сможет участвовать в анализе.
  4. Первый SCA анализ запустится автоматически сразу после клонирования проекта.

Система принимает ссылки на репозитории в следующих форматах:

  • GitLab
    • <http/https>://<GitLab Server URL>/<group>/<project
  • GitHub
    • https://github.com/<ursername/organisation>/<project>
  • BitBucket
    • <http/https>://<Bitbucket Server URL>/scm/<group>/<project>
  • Azure DevOps Git
    • https://<organisation>.visualstudio.com/<group>/_git/<project>
    • https://dev.azure.com/<organisation>/<group>/_git/<project>
    • <http/https>://<Azure Server URL>/<organisation>/<group>/_git/<project>

После добавления репозитория на странице настроек VCS-проекта доступно ручное обновление кода проекта по кнопке Refresh project code.

Внимание! Если анализируемый проект коммерческий, то рекомендуется указать для него лицензию Commercial License.

Создание CLI-проекта

Для перехода на форму создания CLI-проекта необходимо нажать на кнопку Create new и выбрать вкладку CLI Projects.

Для добавления проекта достаточно заполнить его название в поле Name.

Создание категорий проектов

Категории используются для группировки проектов системы по смысловым группам.

Управление категориями происходит в разделе Settings -> Categories. Перейти на форму создания категории можно по кнопке Create new. Для создания категории достаточно задать ей название.

Работа со SBOM в рамках проекта

После проведения анализа проекта становится доступна выгрузка полученного списка используемых компонентов (SBOM) в формате CycloneDX.

Экспортировать полученный SBOM можно на странице проекта в разделе Projects по кнопке Export SBOM.

Экспорт SBoM поддерживается в следующих форматах: - CycloneDX v1.4 JSON - CycloneDX v1.5 JSON - CycloneDX v1.6 JSON - CycloneDX v1.6 Ext JSON -- расширенный формат CycloneDX, содержащий у компонентов дополнительные property: GOST:attack_surface, GOST:security_function, GOST:source_lang.

Настроить свойства компонентов при экспорте можно на странице настройки зависимостей проекта.

Для CLI-проектов также доступна загрузка SBOM через интерфейс по кнопке Import SBOM. Загружаемый SBOM должен быть в формате CycloneDX и иметь расширение .json.

Формирование PDF-отчета по проекту

После проведения анализа также становится доступным формирование PDF-отчета со сводной информацией по проекту.

Экспортировать PDF-отчет с данными последнего анализа можно на странице проекта по кнопке Export PDF. Экспортировать отчет по анализу за определенную дату можно на странице SCA Scan History.

Полученный отчет содержит следующие данные:

  • Общая информация по проекту (название, ветка VCS, время проведения последнего анализа, хэш коммита);
  • Распределение уязвимостей по CVSS;
  • Распределение уязвимостей по технологиям;
  • Таблица найденных зависимостей с разделением по технологиям и окружению разработки;
  • Таблица найденных уязвимостей с разделением по технологиям и окружению разработки.