Configuração das integrações Deps.dev, OSV.dev e PaCE para Lista de materiais de software

  • Versão de lançamento: Yokohama
  • Atualizado 28 de fev. de 2025
  • 3 min. de leitura

    • Você pode editar alguns dos parâmetros das integrações Deps.dev e OSV.dev. Há também duas versões de gatilho de código dessas integrações que são usadas estritamente para fluxos de trabalho internos e você não deve iniciar essas integrações sob demanda. Além disso, você pode ativar um trabalho agendado para criar políticas usando a política como mecanismo de código (PaCE).

    Integrações de gatilho de código para fluxos de trabalho internos

    A partir da v3.2 do SBOM Response, as melhorias de desempenho incluíram a adição de duas integrações de gatilho de código OSV.dev e Deps.dev:
    • Integração de OSV (gatilho de código sob demanda)
    • Integração Deps.dev (gatilho de código sob demanda)
    Essas integrações são iniciadas automaticamente por fluxos de trabalho internos e são somente para uso interno. Embora você possa localizá-los, você não deve iniciar essas integrações sob demanda com o botão Executar agora de seus registros de integração.

    Como configurar a programação de execução para a integração Deps.dev

    Para modificar a programação, navegue até Tudo > Resposta a vulnerabilidades > Administração > Integrações > Integração Deps.dev. A função sn_vul.app_configure_integrations é necessária para editar a programação desta integração.

    Esta integração Deps.dev é usada para identificar componentes que estão nos estados Obsoleto e Abandonado. A versão de um componente obsoleto está mais de duas versões principais atrás da versão mais recente e dois anos atrás da versão mais recente. Um componente abandonado não foi atualizado por mais de dois anos. Os limites de dois anos e duas versões podem ser editados com as propriedades do sistema. Para editar esses parâmetros, navegue até Tudo > Propriedades do sistema > Todas as Propriedades e localize os seguintes registros:
    • sn_sbom_resp.pkg_abandoned_threshold
    • sn_sbom_resp.pkg_stale_threshold
    • sn_sbom_resp.pkg_stale_version_threshold

    A integração Deps.dev é instalada com a resposta SBOM. A integração é ativada (caixa de seleção Ativa marcada no registro de integração) por padrão e programada para ser executada semanalmente. Observe que esta não é a integração do gatilho de código Deps.dev sob demanda e você pode editar a programação e iniciar o trabalho agendado sob demanda a partir do registro de integração. .

    Os valores de limite para abandonados e obsoletos estão em meses. O valor de limite para a versão é numérico.

    Você pode exibir os dados importados na página inicial do espaço e no módulo Fila da lista de materiais. Os dados importados são armazenados na tabela Grupos de pacotes [sn_sbom_pkg_group].

    Configurando e iniciando a Integração OSV.dev - Abrangente

    A Integração OSV.dev - Abrangente é instalada com a Resposta SBOM. A integração está ativada (caixa de seleção Ativo marcada no registro de integração) por padrão. Observe que esta não é a integração do gatilho de código OSV.dev sob demanda e você deve iniciar esta integração sob demanda a partir do registro de integração.

    Para configurar e iniciar esta integração, navegue até Tudo > Resposta a vulnerabilidades > Administração > Integrações > OSV.dev Integration - Abrangente. A função sn_vul.app_configure_integrations é necessária.

    Você pode exibir os dados importados na página inicial do espaço na guia Vulnerabilidade em registros da lista de entidades e no módulo Bibliotecas. Os dados importados são armazenados nas tabelas Entradas vulneráveis da aplicação [sn_vul_app_vul_entry] e Entradas do banco de dados nacional de vulnerabilidades [sn_vul_nvd_entry].

    Nota:
    Você pode configurar o parâmetro de integração batchSize do OSV.dev na guia Parâmetros de integração na instância de vulnerabilidades de código aberto localizada em Tudo > Resposta a vulnerabilidades > Administração > Integrações > Integrações de Vulnerabilidade > Instância de vulnerabilidades de código aberto. O padrão é 75 Purls por chamada de API.

    Você pode preferir deixar este valor em sua configuração padrão. Alterar o valor pode afetar o desempenho.

    Ativação da PaCE

    A partir da versão 4.0 da resposta SBOM, você pode exibir os componentes identificados como obsoletos ou abandonados como "Fora de conformidade" na interface PaCE (Policy as Code Engine), que está disponível no espaço SBOM.

    • Determine se os componentes estão obsoletos ou abandonados com o trabalho agendado Run PaCE policies for SBOM Response. Este trabalho agendado está desativado por padrão.
    • Exiba os componentes identificados como obsoletos ou abandonados como fora de conformidade na interface PaCE que está disponível e exibida no espaço SBOM.

    Consulte Integrating PaCE with other applications para obter mais informações sobre PaCE e políticas de PaCE.