Configurando as integrações de Deps.dev, OSV.dev e PACE para Lista de materiais de software

  • Versão de lançamento: Yokohama
  • Atualizado 28 de fev. de 2025
  • 3 min. de leitura
  • Você pode editar alguns dos parâmetros para as integrações de Deps.dev e OSV.dev. Há também duas versões de gatilho de código dessas integrações que são usadas estritamente para fluxos de trabalho internos, e você não deve iniciar essas integrações sob demanda. Além disso, você pode ativar um trabalho agendado para criar políticas usando Política como mecanismo de código (PACE).

    Integrações de gatilho de código para fluxos de trabalho internos

    A partir da v3.2 de SBOMAs melhorias de desempenho incluíram a adição de dois OSV.dev e Deps.dev. gatilho de código integrações:
    • Integração OSV (gatilho de código sob demanda)
    • Deps.dev Integração (gatilho de código sob demanda)
    Essas integrações são iniciadas automaticamente por fluxos de trabalho internos e são somente para uso interno. Embora você possa localizá-los, você não deve iniciar essas integrações sob demanda com Executar agora dos registros de integração.

    Configurando a programação de execução para a integração Deps.dev.

    Para modificar a programação, navegue até Tudo > Resposta a vulnerabilidades > Administração > Integrações > Integração Deps.dev. A função sn_vul.app_configure_integrations é necessária para editar a programação desta integração.

    Esta integração de Deps.dev é usada para identificar componentes que estão em Obsoleto e. Abandonado estados. A versão de um componente obsoleto é mais de duas versões principais atrás da versão mais recente e dois anos atrás da versão mais recente. Um componente abandonado não foi atualizado por mais de dois anos. Os limites de dois anos e duas versões podem ser editados com as propriedades do sistema. Para editar esses parâmetros, navegue até Tudo > Propriedades do sistema > Todas as Propriedades e localize os seguintes registros:
    • sn_sbom_resp.pkg_abandoned_threshold
    • sn_sbom_resp.pkg_stale_threshold
    • sn_sbom_resp.pkg_stale_version_threshold

    A integração Deps.dev. está instalado com SBOMResposta. A integração é ativada (caixa de seleção Ativo marcada no registro de integração) por padrão e agendada para ser executada semanalmente. Observe que esta não é a integração do gatilho de código Deps.dev sob demanda, e você pode editar a programação e iniciar o trabalho agendado sob demanda a partir de seu registro de integração. .

    Os valores de limite para Abandonado e obsoleto estão em meses. O valor limite da versão é numérico.

    Você pode exibir dados importados na página inicial do espaço e no módulo Fila da lista de materiais. Os dados importados são armazenados na tabela Grupos de pacotes [sn_sbom_pkg_group].

    Configuração e início da integração OSV.dev - abrangente

    A integração OSV.dev - Abrangente a integração está instalada com SBOMResposta. A integração está ativada (caixa de seleção Ativo marcada no registro de integração) por padrão. Observe que esta não é a integração do gatilho de código OSV.dev sob demanda, e você deve iniciar essa integração sob demanda a partir do registro de integração.

    Para configurar e iniciar esta integração, navegue até Tudo > Resposta a vulnerabilidades > Administração > Integrações > Integração OSV.dev - Abrangente. A função sn_vul.app_configure_integrations é necessária.

    Você pode exibir dados importados na página inicial do espaço na guia Vulnerabilidade nos registros da lista Entidades e no módulo Bibliotecas. Os dados importados são armazenados nas tabelas Entradas vulneráveis da aplicação [sn_vul_app_vul_entry] e Entradas do banco de dados nacional de vulnerabilidades [sn_vul_nvd_entry].

    Nota:
    Você pode configurar o OSV.dev's batchSizeParâmetro de integração na guia Parâmetros de integração no Instância de vulnerabilidades de código aberto localizado em Tudo > Resposta a vulnerabilidades > Administração > Integrações > Integrações de Vulnerabilidade > Instância de vulnerabilidades de código aberto. O padrão é 75 Purls por chamada de API.

    Você pode preferir deixar este valor em sua configuração padrão. A alteração do valor pode afetar o desempenho.

    Ativando PACE

    A partir da versão 4,0 de SBOMResposta, você pode exibir componentes identificados como obsoletos ou abandonados como "fora de conformidade" na interface Política como mecanismo de código (PACE) disponível no SBOMEspaço.

    • Determine se os componentes estão obsoletos ou abandonados com o. Run PaCE policies for SBOM Responsetrabalho agendado. Este trabalho agendado está desativado por padrão.
    • Exibir componentes identificados como obsoletos ou abandonados como fora de conformidade na interface do PACE que está disponível e exibida no SBOMEspaço.

    Consulte Integrating PaCE with other applicationsPara obter mais informações sobre o PACE e as políticas do PACE.