Запуски и результаты¶
Запуск — это отдельная проверка проекта. Один проект может иметь несколько запусков, например для разных версий продукта или после исправления найденных проблем.
Источники запуска¶
SORCA поддерживает несколько типов входных данных:
| Источник | Когда использовать |
|---|---|
| Git URL | Для анализа репозитория по прямой ссылке. |
| GitHub или GitLab | Для выбора репозитория из подключённого профиля. |
| Архив | Для анализа исходников без доступа к Git. |
| SBOM | Для загрузки уже сформированного состава компонентов. |
Параметры анализа¶
- Поиск компонентов — формирует список компонентов проекта.
- Поиск уязвимостей — проверяет найденные компоненты на известные уязвимости.
- Поиск зависимостей — ищет зависимости через системы сборки и менеджеры пакетов.
- Распаковка пакетов — извлекает содержимое пакетов внутри архива.
- Поиск секретов — ищет ключи, токены и пароли в файлах.
- Искать репозитории — ищет ссылки на репозитории с исходными кодами компонентов.
- Анализ контейнера — анализирует установленные пакеты в контейнере.
- Архив с SBOM — обрабатывает один или несколько архивов с SBOM JSON/XML.
Если параметры закреплены для проекта, пользователь не сможет изменить их при запуске.
Результаты¶
После завершения запуска доступны вкладки с результатами:
- компоненты и их версии;
- уязвимости по компонентам;
- секреты и места срабатывания;
- лицензии;
- сведения для модерации.
Повторный запуск¶
При повторном запуске важно сохранить разметку уже проверенных срабатываний. SORCA может переносить статусы и комментарии для совпадающих уязвимостей и секретов, чтобы не размечать одно и то же вручную после каждого анализа.