Подключение менеджера репозиториев¶
CodeScoring OSA осуществляет проверку артефактов в менеджерах репозиториев Sonatype Nexus Repository и JFrog Artifactory через плагины OSA. Для более удобной работы с артефактами на инсталляции можно предварительно настроить подключение к менеджеру репозиториев.
Для добавления нового менеджера репозиториев на инсталляции необходимо выполнить следующие действия:
- Перейти в раздел
Настройки -> Менеджеры репозиториев
. - Нажать на кнопку Добавить.
-
Заполнить поля в форме:
- Название – название в системе CodeScoring;
- Тип – Sonatype Nexus Repository или JFrog Artifactory;
- Активно – признак действующего менеджера репозиториев;
- URL – адрес с указанием протокола. Например:
https://jfrog.example.com
; - Имя пользователя – имя пользователя с доступом к менеджеру репозиториев;
- Пароль.
-
Проверить подключение после заполнения данных по кнопке Проверить подключение.
После создания нового подключения по кнопке Добавить менеджер репозиториев отобразится в списке раздела, с возможностью редактирования и удаления.
На странице просмотра можно увидеть список репозиториев со следующими параметрами:
- Название – название в рамках менеджера репозиториев;
- Тип – тип репозитория;
- Экосистема – тип содержащихся артефактов (NPM, PyPI и другие);
- Активно – наличие запросов на проверку компонентов за последние 24 часа;
- Доступно – доступность репозитория в API (проверяется раз в час);
- Дата последнего запроса – дата и время последнего запроса на проверку компонентов.
Увидеть список пакетов и образов из подключенных репозиториев можно в разделах OSA -> Пакеты
и OSA -> Образы контейнеров
, а список запросов на проверку в разделе OSA -> Запросы
.
В рамках разделов доступна фильтрация по отдельным компонентам или следующим полям:
- Репозиторий – репозиторий в рамках хранилища артефактов;
- Технология – язык программирования или операционная система;
- Лицензия – лицензия распространения компонента;
- Статус блокировки – признак заблокированного запроса компонента;
- Последний запрос – даты последнего запроса компонента;
- Менеджер репозиториев – названия подключенного менеджера в CodeScoring;
- Экосистема репозитория – тип хранящихся артефактов (PyPI, NPM и другие);
- Содержит уязвимости – наличие уязвимостей в запрашиваемых компонентах;
- Актуальный – признак обновляемого компонента. Более подробно об этом признаке можно прочитать на странице Обновление данных о компонентах.
Помимо этого, после подключения менеджера появляется возможность настроить политики безопасности для отдельных репозиториев.