Выгрузка результатов анализа¶
Выгрузка в CSV¶
Каждую таблицу с результатами анализа в CodeScoring можно выгрузить в формате CSV, используя кнопку Экспорт в правом верхнем углу интерфейса.
CSV-таблица будет учитывать использованные на момент выгрузки фильтры.
Формирование PDF-отчета по проекту¶
После проведения композиционного анализа на странице проекта становится доступным формирование PDF-отчета со сводной информацией по проекту.
Экспортировать PDF-отчет с данными последнего анализа можно на странице проекта по кнопке Экспорт в PDF. Экспортировать отчет по анализу за определенную дату можно на странице История сканирований SCA
.
Полученный отчет по умолчанию содержит следующие данные:
- общая информация по проекту (название, ветка VCS, время проведения последнего анализа, хэш коммита);
- распределение уязвимостей по CVSS;
- распределение уязвимостей по технологиям;
- таблица найденных зависимостей с разделением по технологиям и окружению разработки;
- таблица найденных уязвимостей с разделением по технологиям и окружению разработки;
- таблица активных алертов политик;
- граф зависимостей в виде дерева.
Также есть возможность задать имя файла, выбрать необходимые блоки данных и отфильтровать данные перед генерацией отчета. Если имя файла не указано, то оно автоматически сгенерируется по следующим правилам:
- Для проектов:
report_<название проекта>.pdf
- Для контейнерных образов:
report_<название образа>_<первые 8 символов хэша>.pdf
Работа со SBOM в рамках проекта¶
После проведения композиционного анализа проекта становится доступна выгрузка полученного перечня используемых компонентов (SBoM) в формате CycloneDX.
Выгрузить полученный SBoM можно на странице проекта в разделе Проекты
по кнопке Скачать SBoM.
Экспорт SBoM поддерживается в следующих форматах:
- CycloneDX v1.4 JSON;
- CycloneDX v1.5 JSON;
- CycloneDX v1.6 JSON;
- CycloneDX v1.6 Ext JSON – расширенный формат CycloneDX, содержащий дополнительные свойства:
GOST:attack_surface
,GOST:security_function
,GOST:source_lang
. Формат адаптирован под дополнительные требования к перечню программных компонентов от ФСТЭК России.
Для выгрузки SBoM так же, как и для PDF, возможна дополнительная настройка. Правила автоматической генерации имен файлов SBoM следующие:
- Для проектов:
bom_<название проекта>_<формат SBoM>.json
- Для контейнерных образов:
bom_<название образа>_<первые 8 символов хэша>_<формат SBoM>.json
Импорт SBoM¶
Для CLI-проектов также доступна загрузка SBoM через интерфейс по кнопке Импорт SBoM. Загружаемый SBOM должен быть в формате CycloneDX и иметь расширение .json
.
Настройка свойств зависимостей для выгрузки в SBoM¶
Для настройки свойств зависимостей необходимо перейти на страницу по кнопке Настроить зависимости
в таблице зависимостей на странице проекта.
Страница позволяет указать поверхность атаки, функцию безопасности, ссылку на исходный код и лицензии для каждого компонента проекта.
Введенные значения учитываются:
- при экспорте SBoM со страницы проекта;
- при экспорте SBoM со страницы истории результатов сканирования (для самого последнего успешного SCA-сканирования);
- при последующих сканированиях проекта;
- при сканировании проекта через консольный агент Johnny;
- в дашборде проекта;
- на странице лицензии.
Важно: изменения значений не применяются к предыдущим сканированиям проекта и относятся только к SBoM текущего проекта, даже если зависимость используется в нескольких проектах.
VCS¶
Поле VCS позволяет указать URL-адрес репозитория, в котором хранится код зависимости. При экспорте SBoM выбранное значение учитывается в поле externalReferences.
Поверхность атаки¶
Поле Поверхность атаки позволяет указать принадлежность компонента к поверхности атаки. Можно выбрать одно из следующих значений:
Да
— компонент входит в непосредственную поверхность атаки;Косвенно
— компонент входит в косвенную поверхность атаки;Нет
— иной случай (значение по умолчанию).
При экспорте SBoM в формате CycloneDX v1.6 Ext JSON
выбранное значение учитывается в свойстве GOST:attack_surface
компонента.
Функция безопасности¶
Поле Функция безопасности позволяет указать принадлежность компонента к функциям безопасности средства защиты информации. Можно выбрать одно из следующих значений:
Да
— если функции компонента непосредственно реализуют функции безопасности;Косвенно
— если функции компонента участвуют в реализации функций безопасности, взаимодействуя с компонентами, реализующими функции безопасности;Нет
— если функции компонента не участвуют в реализации функций безопасности (значение по умолчанию).
При экспорте SBoM в формате CycloneDX v1.6 Ext JSON
выбранное значение учитывается в свойстве "GOST:security_function"
компонента.
Лицензии¶
Поле Лицензии позволяет указать лицензии компонента.
При указании пустого списка выбираются значения, найденные при последнем SCA-анализе.
При экспорте SBoM выбранные значения учитываются в поле licenses
компонента.