Перейти к содержанию

SCA

Функционал доступен в Enterprise версии


SCA - от англ. Software Composition Analysis, композиционный программный анализ.

Совместимость с SCA: убедитесь, что используемый вами анализатор кода поддерживает отчеты в формате CycloneDX.

Настройка SCA для проекта

SCA работает на мощностях, используемых агентом. Анализатор кода показывает отчет после выполнения сценария, указанном в .yaml файле.

Для того, чтобы добавить SCA к конвейеру, необходимо выбрать и подключить композиционный анализатор в свой проект самостоятельно.

Работа с отчетами SCA анализатора работает аналогично SAST/DAST отчетам, вам необходимо указать путь до артефакта с отчетом в CycloneDX формате. Файл отчета необходимо указать в параметре artifacts:reports с указанием типа анализатора dependency_scanning. Если вы явно не укажете данный параметр, то отчет по умолчанию будет отображаться как отчет SAST. Если вам необходимо указать набор файлов отчета, то укажите путь до каждого файла по отдельности.

stages:
  - test

test:
  stage: test
  image: alpine:latest
  scripts:
    # вызов инструмента SCA, генерирующий отчёт bom.json
  artifacts:
    reports:
      dependency_scanning:
        paths:
          - bom.json

Подробнее с оформлением yaml файла можно ознакомиться на странице

Описание работы

В статическом и динамическом анализаторах кода предусмотрены 5 уровней важности уязвимостей:

  • Критические
  • Недопустимые
  • Нежелательные
  • Информационные
  • Неопределенные

sast

На странице Безопасности в проекте вы можете исследовать уязвимости, отфильтровав их по важности и статусу.

sast

Вы можете посмотреть информацию по каждой уязвимости, локализовав файл, коммит и строку, на которых она была обнаружена, а также дополнительную информацию.

sast