Перейти к содержанию

Работа с компонентами OSA на инсталляции

Компоненты, которые прошли проверку плагином OSA, отображаются в разделе Components интерфейса CodeScoring.

Просмотр списка пакетов

Список просканированных пакетов можно посмотреть в подразделе Components -> Packages. Таблица Packages содержит все пакеты, которые проходили проверку за время работы OSA плагина, со следующей информацией:

  • Package – название пакета (со ссылкой на его индивидуальную страницу);
  • Technology – технология (язык программирования или инструмент сборки);
  • Licenses – лицензии;
  • Authors – авторы;
  • Block status – статус блокировки компонента на момент последнего запроса;
  • Release date – дата публикации пакета в свободном доступе;
  • Last requested at – дата и время последнего запроса пакета.

Таблицу с пакетами можно отфильтровать по технологии, лицензии, статусу блокировки или времени последнего запроса компонента.

По нажатию на название пакета осуществляется переход на его индивидуальную страницу, где отображается информация о найденных уязвимостях и сработавших политиках.

Просмотр списка контейнерных образов

Контейнерные образы отображаются в подразделе Components -> Container images после подключения соответствующего реестра. Каждая запись в списке содержит следующую информацию:

  • Name – название образа;
  • Container registry – название реестра, в котором содержится образ;
  • Dependencies – количество найденных зависимостей;
  • Vulnerabilities - количество найденных уязвимостей;
  • Scan status – статус сканирования образа;
  • Block status – статус блокировки компонента на момент последнего запроса (для репозиториев с плагином OSA);
  • Last scanned – дата и время последнего сканирования.

Таблицу с образами можно отфильтровать по названию реестра, а также статусу сканирования и блокировки.

По умолчанию добавленный образ не является просканированным. Для проведения анализа необходимо перейти на страницу образа и нажать на кнопку Run SCA. По результатам сканирования на странице образа появится информация о найденных зависимостях и уязвимостях, а также список сработавших политик безопасности.

Для каждого просканированного образа доступно скачивание SBoM и PDF-отчета, а также просмотр истории сканирований по кнопке SCA scan history.

Просмотр запросов компонентов

Список запросов компонентов из прокси-репозиториев с подключенным плагином можно посмотреть в подразделе Components -> Requests.

Запросы пакетов отображаются на вкладке Packages и по умолчанию содержат следующую информацию:

  • Package – название пакета (со ссылкой на его индивидуальную страницу);
  • Technology – технология;
  • Plugin modeрежим работы плагина;
  • Block status – статус блокировки;
  • Requested at – дата и время запроса.

Запросы контейнерных образов отображаются на вкладке Container images и по умолчанию содержат следующую информацию:

  • Container image – название образа (со ссылкой на его индивидуальную страницу);
  • Registry – название реестра, в котором содержится образ;
  • Plugin modeрежим работы плагина;
  • Block status – статус блокировки;
  • Requested at – дата и время запроса.

Также для обеих таблиц можно отобразить колонки CodeScoring User (пользователь CodeScoring, настроенный в плагине OSA) и Requested PURL (PURL запрашиваемого компонента).