Перейти к содержанию

Выгрузка результатов анализа

Выгрузка в CSV

Каждую таблицу с результатами анализа в CodeScoring можно выгрузить в формате CSV, используя кнопку Экспорт в правом верхнем углу интерфейса.

CSV-таблица будет учитывать использованные на момент выгрузки фильтры.

Формирование PDF-отчета по проекту

После проведения композиционного анализа на странице проекта становится доступным формирование PDF-отчета со сводной информацией по проекту.

Экспортировать PDF-отчет с данными последнего анализа можно на странице проекта по кнопке Экспорт в PDF. Экспортировать отчет по анализу за определенную дату можно на странице История сканирований SCA.

Полученный отчет по умолчанию содержит следующие данные:

  • общая информация по проекту (название, ветка VCS, время проведения последнего анализа, хэш коммита);
  • распределение уязвимостей по CVSS;
  • распределение уязвимостей по технологиям;
  • таблица найденных зависимостей с разделением по технологиям и окружению разработки;
  • таблица найденных уязвимостей с разделением по технологиям и окружению разработки;
  • таблица активных алертов политик;
  • граф зависимостей в виде дерева.

Также есть возможность задать имя файла, выбрать необходимые блоки данных и отфильтровать данные перед генерацией отчета. Если имя файла не указано, то оно автоматически сгенерируется по следующим правилам:

  • Для проектов: report_<название проекта>.pdf
  • Для контейнерных образов: report_<название образа>_<первые 8 символов хэша>.pdf

PDF export modal

Работа со SBOM в рамках проекта

После проведения композиционного анализа проекта становится доступна выгрузка полученного перечня используемых компонентов (SBoM) в формате CycloneDX.

Выгрузить полученный SBoM можно на странице проекта в разделе Проекты по кнопке Скачать SBoM.

Экспорт SBoM поддерживается в следующих форматах:

  • CycloneDX v1.4 JSON;
  • CycloneDX v1.5 JSON;
  • CycloneDX v1.6 JSON;
  • CycloneDX v1.6 Ext JSON – расширенный формат CycloneDX, содержащий дополнительные свойства: GOST:attack_surface, GOST:security_function, GOST:source_lang. Формат адаптирован под дополнительные требования к перечню программных компонентов от ФСТЭК России.

Для выгрузки SBoM так же, как и для PDF, возможна дополнительная настройка. Правила автоматической генерации имен файлов SBoM следующие:

  • Для проектов: bom_<название проекта>_<формат SBoM>.json
  • Для контейнерных образов: bom_<название образа>_<первые 8 символов хэша>_<формат SBoM>.json

Импорт SBoM

Для CLI-проектов также доступна загрузка SBoM через интерфейс по кнопке Импорт SBoM. Загружаемый SBOM должен быть в формате CycloneDX и иметь расширение .json.

Настройка свойств зависимостей для выгрузки в SBoM

Для настройки свойств зависимостей необходимо перейти на страницу по кнопке Настроить зависимости в таблице зависимостей на странице проекта.

Dependencies settings button

Страница позволяет указать поверхность атаки, функцию безопасности, ссылку на исходный код и лицензии для каждого компонента проекта.

Dependencies settings

Введенные значения учитываются:

  • при экспорте SBoM со страницы проекта;
  • при экспорте SBoM со страницы истории результатов сканирования (для самого последнего успешного SCA-сканирования);
  • при последующих сканированиях проекта;
  • при сканировании проекта через консольный агент Johnny;
  • в дашборде проекта;
  • на странице лицензии.

Важно: изменения значений не применяются к предыдущим сканированиям проекта и относятся только к SBoM текущего проекта, даже если зависимость используется в нескольких проектах.

VCS

Поле VCS позволяет указать URL-адрес репозитория, в котором хранится код зависимости. При экспорте SBoM выбранное значение учитывается в поле externalReferences.

Поверхность атаки

Поле Поверхность атаки позволяет указать принадлежность компонента к поверхности атаки. Можно выбрать одно из следующих значений:

  • Да — компонент входит в непосредственную поверхность атаки;
  • Косвенно — компонент входит в косвенную поверхность атаки;
  • Нет — иной случай (значение по умолчанию).

При экспорте SBoM в формате CycloneDX v1.6 Ext JSON выбранное значение учитывается в свойстве GOST:attack_surface компонента.

Функция безопасности

Поле Функция безопасности позволяет указать принадлежность компонента к функциям безопасности средства защиты информации. Можно выбрать одно из следующих значений:

  • Да — если функции компонента непосредственно реализуют функции безопасности;
  • Косвенно — если функции компонента участвуют в реализации функций безопасности, взаимодействуя с компонентами, реализующими функции безопасности;
  • Нет — если функции компонента не участвуют в реализации функций безопасности (значение по умолчанию).

При экспорте SBoM в формате CycloneDX v1.6 Ext JSON выбранное значение учитывается в свойстве "GOST:security_function" компонента.

Лицензии

Поле Лицензии позволяет указать лицензии компонента.

При указании пустого списка выбираются значения, найденные при последнем SCA-анализе.

При экспорте SBoM выбранные значения учитываются в поле licenses компонента.