依赖项列表
- 系统依赖项引入于极狐GitLab 14.6。
- 群组级别的依赖项列表引入于极狐GitLab 16.2,功能标志为
group_level_dependencies
。默认禁用。- 在 JihuLab.com 和私有化部署实例上启用群组级别的依赖项列表于极狐GitLab 16.4。
使用依赖项列表查看项目或群组的依赖项和有关这些依赖项的关键详细信息,包括它们的已知漏洞。它是项目中依赖项的集合,包括现有的和新的发现。该信息有时被称为软件物料清单、SBOM 或 BOM。
先决条件
要查看项目的依赖项,请确保满足以下要求:
- 必须为您的项目配置依赖扫描或容器扫描 CI 作业。
- 您的项目至少使用 Gemnasium 支持的语言和包管理器之一。
- 在默认分支上运行了一条成功的流水线。您不应更改允许应用程序安全作业失败的默认行为。
查看项目的依赖项
查看项目中的依赖项或群组中所有项目的依赖项:
- 在左侧边栏中,选择 搜索或转到 并找到您的项目或群组。
- 选择 安全 > 依赖项列表。
列出了每个依赖项的详细信息,并按漏洞严重性(如果有)的递减顺序排序。您可以按组件名称或打包程序对列表进行排序。
字段 | 描述 |
---|---|
Component | 依赖项的名称和版本。 |
Packager | 用于安装依赖项的打包程序。 |
Location | 对于系统依赖项,会列出已扫描的镜像。对于应用程序依赖项,显示一个链接,指向您的项目中声明依赖项的特定于打包程序的锁定文件。如果存在并且支持的话,还显示顶级依赖项的依赖项路径。 |
License | 链接到依赖项的软件许可证。警告标志,包含在依赖项中检测到的漏洞数量。 |
Projects2 | 具有依赖项的项目链接。如果多个项目拥有相同的依赖项,则会显示这些项目的总数。要转到具有此依赖项的项目,请选择 项目 编号,然后搜索并选择其名称。仅在群组层次结构中最多出现 600 次的群组才支持项目搜索功能。 |
- 仅限项目级别。
- 仅限群组级别。
漏洞
如果依赖项存在已知漏洞,请通过单击依赖项名称旁边的箭头或指示存在多少已知漏洞的标记来查看它们。对于每个漏洞,其严重性和描述显示在其下方。要查看漏洞的更多详细信息,请选择漏洞的描述,然后漏洞详情页面打开。
依赖路径
依赖项列表显示了依赖项和它所连接的顶级依赖项之间的路径(如果有)。多个路径可以将瞬态依赖项连接到顶层依赖项,但用户界面仅显示最短路径之一。
仅显示存在漏洞的依赖项的依赖项路径。
以下包管理器支持依赖路径:
许可证
如果配置了依赖项扫描 CI 作业,已发现的许可证显示在此页面上。
下载依赖项列表
您可以下载 JSON 格式的完整依赖项列表及其详细信息。依赖项列表仅显示在默认分支上运行的最后一个成功流水线的结果。
下载依赖项列表:
- 在左侧边栏中,选择 搜索或转到 并查找您的项目或群组。
- 选择 安全 > 依赖项列表。
- 选择 导出。