Перейти к содержанию

Отчёты и SBOM

SORCA формирует отчёты по результатам анализа и SBOM для передачи состава программного обеспечения.

Отчёты

В отчёты попадают найденные компоненты, уязвимости, секреты, лицензии и комментарии к разметке. Для уязвимостей и секретов отображаются автор комментария и время изменения, если эти данные есть в системе.

Перед выгрузкой проверьте:

  • все критичные срабатывания размечены;
  • комментарии объясняют решение;
  • метаданные проекта заполнены;
  • выбран правильный запуск или дерево проектов.

SBOM

SBOM описывает состав продукта: компоненты, версии, идентификаторы, связи и дополнительные свойства. Для дерева проектов можно формировать объединённый SBOM.

Для корректного SBOM важны:

  • версии продукта и подпроектов;
  • производитель или организация;
  • версии компонентов;
  • корректные PURL;
  • ссылки на исходники или архивы исходников, если они требуются выбранным форматом;
  • признаки поверхности атаки и функций безопасности.

Объединённый SBOM

Объединённый SBOM используется, когда продукт состоит из нескольких подпроектов. В него включаются подпроекты. Если подпроект не содержит компонентов или все они исключены, его можно не включать в итоговый SBOM.

Проверка перед передачей

Перед отправкой SBOM во внешнюю систему проверьте:

  • файл открывается и соответствует выбранному формату;
  • нет компонентов без обязательной версии, если версия требуется;
  • ссылки ведут на корректные источники;
  • исключённые компоненты согласованы;
  • свойства безопасности заполнены по правилам проекта.