에 대한 Deps.dev 및 OSV.dev 통합 구성 소프트웨어 자재 명세서

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 소요 시간: 2분

    • Deps.dev 및 OSV.dev 통합에 대한 일부 매개변수를 편집할 수 있습니다. 내부 워크플로우에만 사용되는 두 가지 코드 트리거 통합이 있습니다.

    내부 워크플로우에 대한 코드 트리거 통합

    응답 v3.2 SBOM 부터 성능 향상에는 OSV.dev 및 Deps.dev 에 대한 두 가지 통합 추가가 포함되었습니다.
    • OSV 통합(온디맨드 코드 트리거)
    • Deps.dev 통합(요청 시 코드 트리거)
    이러한 통합은 내부 워크플로우에 의해 자동으로 시작되며 내부 전용입니다. 통합 기록의 지금 실행 버튼을 사용하여 요청 시 이러한 통합을 시작해서는 안 됩니다.

    Deps.dev 에 대한 실행 일정 구성

    설치된 경우 Deps.dev 통합이 기본적으로 활성화되고(통합 기록에서 활성 확인란 선택됨) 매주 실행되도록 예약됩니다. 일정을 편집하고 통합 기록에서 요청 시 예약된 작업을 시작할 수 있습니다. 다음으로 이동 모두 > 취약성 대응 > 통합 > Deps.dev 통합. 이 통합의 일정을 편집하려면 sn_vul.app_configure_integrations 역할이 필요합니다.

    Deps.dev 통합은 부실중단됨 상태에 있는 구성요소를 식별하는 데 사용됩니다. 부실 구성 요소의 버전은 주 버전이 최신 버전보다 2개 이상 뒤처져 있고 최신 버전보다 2년 이상 뒤처져 있습니다. 중단된 구성 요소가 2년 이상 업데이트되지 않았습니다. 2년 및 2버전 임계치는 시스템 속성으로 편집할 수 있습니다. 이러한 매개변수를 편집하려면 모두 > 시스템 속성 > 모든 속성 을 클릭하고 다음 기록을 찾습니다.
    • sn_sbom_resp.pkg_abandoned_threshold
    • sn_sbom_resp.pkg_stale_threshold
    • sn_sbom_resp.pkg_stale_version_threshold

    중단됨 및 부실에 대한 임계값은 월 단위입니다. version에 대한 임계값은 숫자입니다.

    OSV.dev 구성

    설치된 경우 OSV.dev 통합이 기본적으로 활성화되지만(통합 기록에서 활성 확인란 선택) 통합 기록에서 요청 시 시작해야 합니다. 다음으로 이동 모두 > 취약성 대응 > 통합 > OSV.dev 통합 - 포괄적. 이 통합의 일정을 편집하려면 sn_vul.app_configure_integrations 역할이 필요합니다.

    주:
    OSV.dev의 batchSize 통합 매개 변수는 오픈 소스 취약성 통합에서 구성할 수 있습니다. 기본값은 API 호출당 75Purls입니다.

    이 값은 기본 설정으로 두는 것이 좋습니다. 값을 변경하면 성능에 영향을 줄 수 있습니다.