Перейти к содержанию

Выгрузка результатов анализа

Выгрузка в CSV

Каждую таблицу с результатами анализа в CodeScoring можно выгрузить в формате CSV, используя кнопку Export в правом верхнем углу интерфейса.

CSV-таблица будет учитывать использованные на момент выгрузки фильтры.

Формирование PDF-отчета по проекту

После проведения композиционного анализа на странице проекта становится доступным формирование PDF-отчета со сводной информацией по проекту.

Экспортировать PDF-отчет с данными последнего анализа можно на странице проекта по кнопке Export PDF. Экспортировать отчет по анализу за определенную дату можно на странице SCA Scan History.

Полученный отчет по умолчанию содержит следующие данные:

  • общая информация по проекту (название, ветка VCS, время проведения последнего анализа, хэш коммита);
  • распределение уязвимостей по CVSS;
  • распределение уязвимостей по технологиям;
  • таблица найденных зависимостей с разделением по технологиям и окружению разработки;
  • таблица найденных уязвимостей с разделением по технологиям и окружению разработки;
  • таблица активных алертов политик;
  • граф зависимостей в виде дерева.

Также есть возможность задать имя файла, выбрать необходимые блоки данных и отфильтровать данные перед генерацией отчета. Если имя файла не указано, то оно автоматически сгенерируется по следующим правилам:

  • Для проектов: report_<название проекта>.pdf
  • Для контейнерных образов: report_<название образа>_<первые 8 символов хэша>.pdf

PDF export modal

Работа со SBOM в рамках проекта

После проведения композиционного анализа проекта становится доступна выгрузка полученного перечня используемых компонентов (SBoM) в формате CycloneDX.

Выгрузить полученный SBoM можно на странице проекта в разделе Projects по кнопке Export SBoM.

Экспорт SBoM поддерживается в следующих форматах:

  • CycloneDX v1.4 JSON;
  • CycloneDX v1.5 JSON;
  • CycloneDX v1.6 JSON;
  • CycloneDX v1.6 Ext JSON – расширенный формат CycloneDX, содержащий дополнительные свойства: GOST:attack_surface, GOST:security_function, GOST:source_lang. Формат адаптирован под дополнительные требования к перечню программных компонентов от ФСТЭК России.

Для выгрузки SBoM так же, как и для PDF, возможна дополнительная настройка. Правила автоматической генерации имен файлов SBoM следующие:

  • Для проектов: bom_<название проекта>_<формат SBoM>.json
  • Для контейнерных образов: bom_<название образа>_<первые 8 символов хэша>_<формат SBoM>.json

Для CLI-проектов также доступна загрузка SBoM через интерфейс по кнопке Import SBoM. Загружаемый SBOM должен быть в формате CycloneDX и иметь расширение .json.

Настройка свойств зависимостей для выгрузки в SBoM

Для настройки свойств зависимостей необходимо перейти на страницу по кнопке Configure dependencies в таблице Dependencies проекта.

Dependencies settings button

Страница позволяет указать поверхность атаки (Attack surface), функцию безопасности (Security function), систему хранения кода (VCS) и лицензии (Licenses) для каждого компонента проекта.

Dependencies settings

Введенные значения учитываются:

  • при экспорте SBoM со страницы проекта;
  • при экспорте SBoM со страницы истории результатов сканирования (для самого последнего успешного SCA-сканирования);
  • при последующих сканированиях проекта;
  • при сканировании проекта через консольный агент Johnny;
  • в дашборде проекта;
  • на странице лицензии.

Важно: изменения значений не применяются к предыдущим сканированиям проекта и относятся только к SBoM текущего проекта, даже если зависимость используется в нескольких проектах.

VCS

Поле VCS позволяет указать URL-адрес репозитория, в котором хранится код зависимости. При экспорте SBoM выбранное значение учитывается в поле externalReferences.

Attack surface

Поле Attack surface позволяет указать принадлежность компонента к поверхности атаки. Можно выбрать одно из следующих значений:

  • yes — компонент входит в непосредственную поверхность атаки;
  • indirect — компонент входит в косвенную поверхность атаки;
  • no — иной случай (значение по умолчанию).

При экспорте SBoM в формате CycloneDX v1.6 Ext JSON выбранное значение учитывается в свойстве GOST:attack_surface компонента.

Security function

Поле Security function позволяет указать принадлежность компонента к функциям безопасности средства защиты информации. Можно выбрать одно из следующих значений:

  • yes — если функции компонента непосредственно реализуют функции безопасности;
  • indirect — если функции компонента участвуют в реализации функций безопасности, взаимодействуя с компонентами, реализующими функции безопасности;
  • no — если функции компонента не участвуют в реализации функций безопасности (значение по умолчанию).

При экспорте SBoM в формате CycloneDX v1.6 Ext JSON выбранное значение учитывается в свойстве "GOST:security_function" компонента.

Licenses

Поле Licenses позволяет указать лицензии компонента.

При указании пустого списка выбираются значения, найденные при последнем SCA-анализе.

При экспорте SBoM выбранные значения учитываются в поле licenses компонента.