Перейти к содержанию

Обзор зависимостей

Просмотр списка зависимостей

Список просканированных open source завимостей можно посмотреть в подразделе SCA -> Зависимости. Таблица в данном разделе содержит все зависимости, которые проходили проверку за время работы SCA модуля, со следующей информацией:

  • Зависимость – название зависимости (со ссылкой на его индивидуальную страницу);
  • Технология – технология (язык программирования или инструмент сборки);
  • Лицензии – идентификатор лицензии, указанный в пакетном индексе;
  • Авторы – разработчик компонента, указанный в пакетном индексе;
  • Уязвимости – количество найденных уязвимостей в зависимости;
  • Найдено – тип определения зависимости: по манифесту, облачный резолв или по содержимому (когда код компонента включен в кодовую базу проекта);
  • Связь - тип зависимости (прямая или транзитивная);
  • Окружение - окружение разработки;
  • Родительские зависимости - связанные вышестоящие зависимости;
  • Проект - проект, в котором используется зависимость;
  • Максимальная версия исправления - версия зависимости, на которую необходимо выполнить обновление, чтобы закрыть обнаруженные в настоящий момент модулем SCA уязвимости, при этом учитываются только зависимости с указанной версией исправления уязвимости;
  • Дата выпуска - дата и время релиза зависимости.

Таблицу с зависимостями можно отфильтровать по проекту, подразделению, категории проекта, группах проекта, технологии, лицензии, категории лицензии, как найдено, связи, окружению, временному периоду выпуска.

По нажатию на название зависимости осуществляется переход на его индивидуальную страницу, где отображается информация об его использовании в проектах и найденных уязвимостях.

Работа с визуализацией графа зависимостей

Open source зависимости программных проектов представляют собой граф — структуру, в которой отдельные компоненты выступают узлами, а связи между ними представлены в виде ребер.

Увидеть визуализацию графа зависимостей можно в разделе Зависимости или на странице проекта, нажав на соответствующую иконку в списке зависимостей.

Dependencies

На странице с интерактивной визуализацией представлены компоненты по уровням вложенности — от корневой зависимости до максимального уровня транзитивных зависимостей. По наведению курсора на объекты можно увидеть более подробную информацию о компоненте: версия, окружение, технология и количество уязвимостей.

Визуализация интерактивна и масштабируема. По нажатию на компоненту можно отследить путь ее попадания в проект. Компоненты с найденными уязвимостями обозначаются цветом.

Graph

Компоненты на полученном графе можно отфильтровать по следующим параметрам:

  • технология;
  • среда разработки;
  • степень критичности уязвимости.