Configuração das integrações de Deps.dev, OSV.dev e Pace para Lista de materiais de software

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 3 min. de leitura

    • Você pode editar alguns dos parâmetros das integrações de Deps.dev e OSV.dev. Também há duas versões de gatilho de código dessas integrações que são usadas estritamente para fluxos de trabalho internos, e você não deve iniciar essas integrações sob demanda. Além disso, você pode ativar um trabalho agendado para criar políticas usando Política como Mecanismo de código (Pace).

    Integrações de gatilho de código para fluxos de trabalho internos

    A partir da v3.2 de SBOM Melhorias de desempenho incluídas a adição de dois OSV.dev e Deps.dev. gatilho de código integrações:
    • Integração OSV (gatilho de código sob demanda)
    • Integração Deps.dev (gatilho de código sob demanda)
    Essas integrações são iniciadas automaticamente por fluxos de trabalho internos e são somente para uso interno. Embora você possa localizá-los, você não deve iniciar essas integrações sob demanda com Executar agora de seus registros de integração.

    Configurar a programação de execução da integração Deps.dev.

    A integração Deps.dev. instalado com SBOM Resposta. A integração está ativada (caixa de seleção Ativo marcada no registro de integração) por padrão e programada para ser executada semanalmente. Observe que esta não é a integração do gatilho de código Deps.dev sob demanda e você pode editar a programação e iniciar o trabalho agendado sob demanda a partir do registro de integração. .

    Para modificar a programação, navegue até Tudo > Resposta a vulnerabilidades > Administração > Integrações > Integração Deps.dev. A função sn_vul.app_configure_integrations é necessária para editar a programação desta integração.

    Esta integração de Deps.dev é usada para identificar os componentes que estão no Obsoleto e. Abandonado estados. A versão de um componente obsoleto é mais de duas versões principais atrás da versão mais recente e dois anos atrás da versão mais recente. Um componente abandonado não foi atualizado há mais de dois anos. Os limites de dois anos e duas versões podem ser editados com as propriedades do sistema. Para editar esses parâmetros, navegue até Tudo > Propriedades do sistema > Todas as Propriedades e localize os seguintes registros:
    • sn_sbom_resp.pkg_abandoned_threshold
    • sn_sbom_resp.pkg_stale_threshold
    • sn_sbom_resp.pkg_stale_version_threshold

    Os valores de limite para abandonado e obsoleto estão em meses. O valor limite da versão é numérico.

    Você pode exibir dados importados na página inicial do espaço e no módulo Fila da BOM. Os dados importados são armazenados na tabela Grupos de pacotes [sn_sbom_pkg_group].

    Configuração e início da Integração OSV.dev - Abrangente

    Integração OSV.dev - Abrangente a integração é instalada com SBOM Resposta. A integração está ativada (caixa de seleção Ativo marcada no registro de integração) por padrão. Observe que esta não é a integração do gatilho de código OSV.dev sob demanda e você deve iniciar essa integração sob demanda a partir do registro de integração.

    Para configurar e iniciar esta integração, navegue até Tudo > Resposta a vulnerabilidades > Administração > Integrações > Integração OSV.dev - Abrangente. A função sn_vul.app_configure_integrations é necessária.

    Você pode exibir dados importados na página inicial do espaço na guia Vulnerabilidade em registros da lista Entidades e no módulo Bibliotecas. Os dados importados são armazenados nas tabelas Entradas vulneráveis à aplicação [sn_vul_app_vul_entry] e Entradas do banco de dados nacional de vulnerabilidades [sn_vul_nvd_entry].

    Nota:
    Você pode configurar o OSV.dev's batchSizeParâmetro de integração na guia Parâmetros de integração no Instância de vulnerabilidades de código aberto localizado em Tudo > Resposta a vulnerabilidades > Administração > Integrações > Integrações de Vulnerabilidade > Instância de vulnerabilidades de código aberto. O padrão é 75 Purls por chamada de API.

    Você pode preferir deixar este valor em sua configuração padrão. Alterar o valor pode afetar o desempenho.

    Ativando o ritmo

    A partir da versão 4,0 de SBOM Resposta, você pode exibir componentes identificados como obsoletos ou abandonados como "fora de conformidade" na interface Política como Mecanismo de código (Pace) que está disponível em SBOM Espaço.

    • Determine se os componentes estão obsoletos ou abandonados com Run PaCE policies for SBOM Responsetrabalho agendado. Este trabalho agendado está desativado por padrão.
    • Exiba componentes identificados como obsoletos ou abandonados como fora de conformidade na interface do Pace que está disponível e exibido no SBOM Espaço.

    Consulte Integrating PaCE with other applications Para obter mais informações sobre as políticas de ritmo e ritmo.