Configurando as integrações de Deps.dev, OSV.dev e PACE para Lista de materiais de software
Você pode editar alguns dos parâmetros para as integrações de Deps.dev e OSV.dev. Há também duas versões de gatilho de código dessas integrações que são usadas estritamente para fluxos de trabalho internos, e você não deve iniciar essas integrações sob demanda. Além disso, você pode ativar um trabalho agendado para criar políticas usando Política como mecanismo de código (PACE).
Integrações de gatilho de código para fluxos de trabalho internos
- Integração OSV (gatilho de código sob demanda)
- Deps.dev Integração (gatilho de código sob demanda)
Configurando a programação de execução para a integração Deps.dev.
Para modificar a programação, navegue até . A função sn_vul.app_configure_integrations é necessária para editar a programação desta integração.
- sn_sbom_resp.pkg_abandoned_threshold
- sn_sbom_resp.pkg_stale_threshold
- sn_sbom_resp.pkg_stale_version_threshold
A integração Deps.dev. está instalado com SBOMResposta. A integração é ativada (caixa de seleção Ativo marcada no registro de integração) por padrão e agendada para ser executada semanalmente. Observe que esta não é a integração do gatilho de código Deps.dev sob demanda, e você pode editar a programação e iniciar o trabalho agendado sob demanda a partir de seu registro de integração. .
Os valores de limite para Abandonado e obsoleto estão em meses. O valor limite da versão é numérico.
Você pode exibir dados importados na página inicial do espaço e no módulo Fila da lista de materiais. Os dados importados são armazenados na tabela Grupos de pacotes [sn_sbom_pkg_group].
Configuração e início da integração OSV.dev - abrangente
A integração OSV.dev - Abrangente a integração está instalada com SBOMResposta. A integração está ativada (caixa de seleção Ativo marcada no registro de integração) por padrão. Observe que esta não é a integração do gatilho de código OSV.dev sob demanda, e você deve iniciar essa integração sob demanda a partir do registro de integração.
Para configurar e iniciar esta integração, navegue até . A função sn_vul.app_configure_integrations é necessária.
Você pode exibir dados importados na página inicial do espaço na guia Vulnerabilidade nos registros da lista Entidades e no módulo Bibliotecas. Os dados importados são armazenados nas tabelas Entradas vulneráveis da aplicação [sn_vul_app_vul_entry] e Entradas do banco de dados nacional de vulnerabilidades [sn_vul_nvd_entry].
Você pode preferir deixar este valor em sua configuração padrão. A alteração do valor pode afetar o desempenho.
Ativando PACE
A partir da versão 4,0 de SBOMResposta, você pode exibir componentes identificados como obsoletos ou abandonados como "fora de conformidade" na interface Política como mecanismo de código (PACE) disponível no SBOMEspaço.
- Determine se os componentes estão obsoletos ou abandonados com o. Run PaCE policies for SBOM Responsetrabalho agendado. Este trabalho agendado está desativado por padrão.
- Exibir componentes identificados como obsoletos ou abandonados como fora de conformidade na interface do PACE que está disponível e exibida no SBOMEspaço.
Consulte Integrating PaCE with other applicationsPara obter mais informações sobre o PACE e as políticas do PACE.