依存関係リスト
GitLab Ultimate12.0から導入されました。
依存関係リストでは、プロジェクトの依存関係、および、既知の脆弱性を含む依存関係の主要な詳細を見ることができます。 これを見るには、プロジェクトのサイドバーで、「セキュリティとコンプライアンス」 > 「依存関係リスト」に移動してください。 この情報は、ソフトウェア部品表(Software Bill of Materials)、または、SBoM / BOMと呼ばれることもあります。
要件
- Dependency ScanningCI ジョブは、プロジェクト用に設定する必要があります。
- あなたのプロジェクトは、Gemnasiumがサポートする言語とパッケージマネージャの少なくとも1つを使用しています。
依存関係の表示
依存関係は以下の情報とともに表示されます:
項目 | 説明 |
---|---|
コンポーネント | 依存関係の名前とバージョン |
パッケージャー | 依存関係のインストールに使用されるパッケージャ |
所在地 | 依存関係を宣言した、プロジェクト内のパッケージャ固有のロックファイルへのリンク。 |
ライセンス | 依存関係ソフトウェアライセンスへのリンク |
表示される依存関係は、既知の脆弱性がある場合、深刻度順にソートされています。 また、名前順やインストールしたパッケージャ順にソートすることもできます。
脆弱性
依存関係に既知の脆弱性がある場合は、依存関係の名前の横にある矢印または既知の脆弱性の数を示すバッジをクリックすることで、その脆弱性を表示できます。 各脆弱性の深刻度と説明は、その脆弱性の下に表示されます。
ライセンス
GitLab Ultimate 12.3で導入されました。
License ComplianceCI ジョブが設定されている場合、検出されたライセンスがこのページに表示されます。
依存関係リストのダウンロード
あなたのプロジェクトの依存関係の完全なリストとその詳細は、ダウンロードボタンをクリックしてJSON
フォーマットでダウンロードできます。