Configuration des intégrations Deps.dev et OSV.dev pour Nomenclature logicielle

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • Vous pouvez modifier certains paramètres pour les intégrations Deps.dev et OSV.dev. Il existe deux intégrations de déclencheur de code qui sont utilisées uniquement pour les flux de travail internes.

    Intégrations de déclencheurs de code pour les workflows internes

    À partir de la version 3.2 de Response, les améliorations de performances comprenaient l’ajout de SBOM deux intégrations pour OSV.dev et Deps.dev :
    • Intégration OSV (déclencheur de code à la demande)
    • Intégration Deps.dev (déclencheur de code sur demande)
    Ces intégrations sont initiées automatiquement par des workflows internes et ne sont destinées qu’à un usage interne. Vous ne devez pas lancer ces intégrations à la demande avec le bouton Exécuter maintenant sur leurs enregistrements d’intégration.

    Configuration du calendrier d’exécution pour Deps.dev

    Si elle est installée, l’intégration Deps.dev est activée par défaut (case Actif sélectionnée sur l’enregistrement d’intégration) et son exécution est planifiée chaque semaine. Vous pouvez modifier le calendrier et lancer la tâche planifiée sur demande à partir de l’enregistrement d’intégration. Accédez à la Tout > Réponse aux vulnérabilités > Intégrations > Intégration Deps.dev. Le rôle sn_vul.app_configure_integrations est requis pour modifier le calendrier de cette intégration.

    L’intégration Deps.dev est utilisée pour identifier les composants qui sont dans les états périmés et abandonnés . La version d’un composant périmé a plus de deux versions majeures de retard sur la dernière version et deux ans de retard sur la dernière version. Un composant abandonné n’a pas été mis à jour depuis plus de deux ans. Les seuils de deux ans et de deux versions peuvent être modifiés avec les propriétés système. Pour modifier ces paramètres, accédez à Tout > Propriétés système > Toutes les propriétés et localisez les enregistrements suivants :
    • sn_sbom_resp.pkg_abandoned_threshold
    • sn_sbom_resp.pkg_stale_threshold
    • sn_sbom_resp.pkg_stale_version_threshold

    Les valeurs de seuil pour Abandonné et Périmé sont en mois. La valeur de seuil pour la version est numérique.

    Configurer OSV.dev

    Si elle est installée, l’intégration OSV.dev est activée (case Actif sélectionnée sur l’enregistrement d’intégration) par défaut, mais vous devez la lancer sur demande à partir de l’enregistrement d’intégration. Accédez à la Tout > Réponse aux vulnérabilités > Intégrations > Intégration OSV.dev : complète. Le rôle sn_vul.app_configure_integrations est requis pour modifier le calendrier de cette intégration.

    Remarque :
    Vous pouvez configurer le paramètre d’intégration OSV.dev au niveau de l’intégration des vulnérabilités batchSize Open Source. La valeur par défaut est de 75 Purls par appel d’API.

    Vous préférerez peut-être conserver cette valeur dans son paramètre par défaut. La modification de la valeur peut avoir un impact sur les performances.