Перейти к содержанию

Работа с компонентами OSA в платформе

Компоненты, которые прошли проверку плагином, отображаются в разделе OSA интерфейса CodeScoring.

Просмотр списка пакетов

Список просканированных пакетов можно посмотреть в подразделе OSA -> Пакеты. Таблица в данном разделе содержит все пакеты, которые проходили проверку за время работы OSA плагина, со следующей информацией:

  • Пакет – название пакета (со ссылкой на его индивидуальную страницу);
  • Технология – технология (язык программирования или инструмент сборки);
  • Лицензии – лицензии;
  • Авторы – авторы;
  • Уязвимости – количество найденных уязвимостей в пакете;
  • Статус блокировки – статус блокировки компонента на момент последнего запроса;
  • Выпущено – дата и время публикации версии пакета;
  • Последний запрос – дата и время последнего запроса пакета.

Таблицу с пакетами можно отфильтровать по технологии, лицензии, статусу блокировки или времени последнего запроса компонента.

По нажатию на название пакета осуществляется переход на его индивидуальную страницу, где отображается информация о найденных уязвимостях и сработавших политиках.

Индивидуальная страница пакета

На индивидуальной странице пакета отображаются основные атрибуты компонента:

  • PURL – уникальный идентификатор пакета;
  • Актуальный – статус актуальности компонента;
  • Технология – технология пакета;
  • Лицензии – лицензии пакета;
  • Версия – версия пакета;
  • Авторы – авторы пакета;
  • Домашняя страница – ссылка на страницу проекта;
  • Index URL – ссылка на страницу пакета в пакетном индексе;
  • Выпущено – дата и время публикации версии;
  • Последний запрос – дата и время последнего запроса;
  • Первый запрос – дата и время первого запроса;
  • Политики обновлены – дата и время последнего обновления политик для компонента в соответствии с механизмом обновления;
  • Репозиторий – имя репозитория, из которого получен пакет;
  • Менеджер репозиториев – название подключенного менеджера репозиториев;
  • Ссылка на пакет – ссылка на пакет в менеджере репозиториев.

Просмотр списка контейнерных образов

Контейнерные образы отображаются в подразделе OSA -> Образы контейнеров после подключения соответствующего реестра. Каждая запись в списке содержит следующую информацию:

  • Название – название образа;
  • Реестр контейнеров – название реестра, в котором содержится образ;
  • Зависимости – количество найденных зависимостей;
  • Уязвимости - количество найденных уязвимостей;
  • Статус сканирования – статус сканирования образа;
  • Статус блокировки – статус блокировки компонента на момент последнего запроса (для репозиториев с плагином OSA);
  • Последнее сканирование – дата и время последнего сканирования;
  • Последний запрос – дата и время последнего запроса.

Таблицу с образами можно отфильтровать по названию реестра, а также статусу сканирования и блокировки.

По умолчанию добавленный образ не является просканированным. Для проведения анализа необходимо перейти на страницу образа и нажать на кнопку Запустить SCA. По результатам сканирования на странице образа появится информация о найденных зависимостях и уязвимостях, а также список сработавших политик безопасности.

Для образа доступно скачивание SBOM и PDF-отчета по данным последнего успешного сканирования.

Индивидуальная страница контейнерного образа

На индивидуальной странице контейнерного образа отображаются основные атрибуты компонента:

  • PURL – уникальный идентификатор образа;
  • Дайджест – дайджест образа;
  • Теги – теги образа;
  • Актуальный – статус актуальности компонента;
  • Политики обновлены – дата и время последнего обновления политик для компонента в соответствии с механизмом обновления;
  • Последний запрос – дата и время последнего запроса;
  • Первый запрос – дата и время первого запроса;
  • Последнее сканирование – дата и время последнего сканирования;
  • Статус блокировки – статус блокировки компонента на момент последнего запроса;
  • Реестр контейнеров – имя реестра, в котором размещен образ;
  • Ссылки на образ в реестре – ссылки на образ в подключенных реестрах;
  • Репозиторий – имя репозитория, из которого получен образ;
  • Менеджер репозиториев – название подключенного менеджера репозиториев.

Просмотр запросов компонентов

Список запросов компонентов из прокси-репозиториев с подключенным плагином можно посмотреть в подразделе OSA -> Запросы.

Запросы пакетов отображаются на вкладке Пакеты и по умолчанию содержат следующую информацию:

  • Пакет – название пакета (со ссылкой на его индивидуальную страницу);
  • Технология – технология;
  • Режим плагинарежим работы плагина;
  • Статус блокировки – статус блокировки;
  • Дата запроса – дата и время запроса;
  • Инициатор запроса - имя инициатора запроса в менеджере репозиториев.

Запросы контейнерных образов отображаются на вкладке Образы контейнеров и по умолчанию содержат следующую информацию:

  • Контейнерный образ – название образа (со ссылкой на его индивидуальную страницу);
  • Реестр – название реестра, в котором содержится образ;
  • Режим плагинарежим работы плагина;
  • Статус блокировки – статус блокировки;
  • Дата запроса – дата и время запроса;
  • Инициатор запроса - имя инициатора запроса в менеджере репозиториев.

Также для обеих таблиц можно отобразить колонки Пользователь CodeScoring (пользователь CodeScoring, настроенный в плагине OSA) и Запрашиваемый PURL (идентификатор запрашиваемого компонента).