Модуль SCA

Система позволяет проводить сканирование OSS-компонентов приложений на этапах Build и Deploy на основе анализа зависимостей приложения. Приложение может быть представлено как в виде исходного кода (в этом случае проводится сканирование файла манифеста — pom.xml, build.gradle, package.json, go.sum и т. д.), так и в виде собранного артефакта (*.jar, *.war, *.whl, *.tar и т. д.). Также возможно сканирование Docker-образов, файлов создания Docker-образов (dockerfile) и файлов SBOM.

Интеграция в пайплайны приложений проводится с помощью утилиты командной строки track-cli, которая поддерживает два режима работы:

1. Сканирование (scan). Если при этом не указан SBOM, то проводится генерация SBOM и последующая его отправка на сканирование, а затем выдача результатов сканирования.
2. Генерация SBOM (collect).

Подробно работа с модулем SCA описана в разделе «Приложения», а работа с утилитой командной строки track-cli - в разделе «Работа с использованием CLI».