Como configurar as integrações Deps.dev e OSV.dev para Lista de materiais de software

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 1 min. de leitura

    • Você pode editar alguns dos parâmetros das integrações Deps.dev e OSV.dev. Há duas integrações de gatilho de código que são usadas estritamente para fluxos de trabalho internos.

    Integrações de gatilho de código para fluxos de trabalho internos

    A partir da v3.2 do SBOM Response, as melhorias de desempenho incluíram a adição de duas integrações para OSV.dev e Deps.dev:
    • Integração de OSV (gatilho de código sob demanda)
    • Integração Deps.dev (gatilho de código sob demanda)
    Essas integrações são iniciadas automaticamente por fluxos de trabalho internos e são somente para uso interno. Você não deve iniciar essas integrações sob demanda com o botão Executar agora em seus registros de integração.

    Configurando a programação de execução para Deps.dev

    Se instalada, a integração Deps.dev será ativada (caixa de seleção Ativo marcada no registro de integração) por padrão e programada para ser executada semanalmente. Você pode editar a programação e iniciar o trabalho agendado sob demanda a partir do registro de integração. Navegar até Todos > Resposta a vulnerabilidades > Integrações > Integração Deps.dev. A função sn_vul.app_configure_integrations é necessária para editar a programação desta integração.

    A integração Deps.dev é usada para identificar componentes que estão nos estados Obsoleto e Abandonado. A versão de um componente obsoleto está mais de duas versões principais atrás da versão mais recente e dois anos atrás da versão mais recente. Um componente abandonado não foi atualizado por mais de dois anos. Os limites de dois anos e duas versões podem ser editados com as propriedades do sistema. Para editar esses parâmetros, navegue até Todos > Propriedades do sistema > Todas as Propriedades e localize os seguintes registros:
    • sn_sbom_resp.pkg_abandoned_threshold
    • sn_sbom_resp.pkg_stale_threshold
    • sn_sbom_resp.pkg_stale_version_threshold

    Os valores de limite para abandonados e obsoletos estão em meses. O valor de limite para a versão é numérico.

    Configurando OSV.dev

    Se instalada, a integração do OSV.dev será ativada (caixa de seleção Ativa marcada no registro de integração) por padrão. No entanto, você deve iniciá-la sob demanda a partir do registro de integração. Navegar até Todos > Resposta a vulnerabilidades > Integrações > OSV.dev Integration - Abrangente. A função sn_vul.app_configure_integrations é necessária para editar a programação desta integração.

    Nota:
    Você pode configurar o parâmetro de integração batchSize do OSV.dev na Integração de vulnerabilidades de código aberto. O padrão é 75 Purls por chamada de API.

    Você pode preferir deixar este valor em sua configuração padrão. Alterar o valor pode afetar o desempenho.