SCA
Функционал доступен в Enterprise версии
SCA - от англ. Software Composition Analysis, композиционный программный анализ.
Совместимость с SCA: убедитесь, что используемый вами анализатор кода поддерживает отчеты в формате CycloneDX.
Настройка SCA для проекта
SCA работает на мощностях, используемых агентом. Анализатор кода показывает отчет после выполнения сценария, указанном в .yaml файле.
Для того, чтобы добавить SCA к конвейеру, необходимо выбрать и подключить композиционный анализатор в свой проект самостоятельно.
Работа с отчетами SCA анализатора работает аналогично SAST/DAST отчетам, вам необходимо указать путь до артефакта с отчетом в CycloneDX формате. Файл отчета необходимо указать в параметре artifacts:reports с указанием типа анализатора dependency_scanning. Если вы явно не укажете данный параметр, то отчет по умолчанию будет отображаться как отчет SAST. Если вам необходимо указать набор файлов отчета, то укажите путь до каждого файла по отдельности.
stages:
- test
test:
stage: test
image: alpine:latest
scripts:
# вызов инструмента SCA, генерирующий отчёт bom.json
artifacts:
reports:
dependency_scanning:
paths:
- bom.json
Подробнее с оформлением yaml файла можно ознакомиться на странице
Описание работы
В статическом и динамическом анализаторах кода предусмотрены 5 уровней важности уязвимостей:
- Критические
- Недопустимые
- Нежелательные
- Информационные
- Неопределенные
На странице Безопасности в проекте вы можете исследовать уязвимости, отфильтровав их по важности и статусу.
Вы можете посмотреть информацию по каждой уязвимости, локализовав файл, коммит и строку, на которых она была обнаружена, а также дополнительную информацию.
