依赖扫描和容器扫描对比
极狐GitLab 提供 依赖扫描 和 容器扫描 ,以确保覆盖所有这些依赖类型。为了尽可能多地覆盖您的风险区域,我们鼓励您使用我们的所有安全扫描工具:
- 依赖扫描会分析您的项目,并告知您项目中包含了哪些软件依赖项,包括上游依赖项,以及这些依赖项包含了哪些已知风险。
- 容器扫描会分析您的容器,并告知您操作系统软件包中的已知风险。
下表总结了每种扫描工具可以检测的依赖类型:
| 功能 | 依赖扫描 | 容器扫描 |
|---|---|---|
| 识别引入依赖的清单文件、锁定文件或静态文件 | ||
| 开发依赖项 | ||
| 提交到您的仓库的锁定文件中的依赖项 | 1 | |
| 由 Go 构建的二进制文件 | 2 | |
| 由操作系统安装的动态链接语言特定依赖项 | ||
| 操作系统依赖项 | ||
| 安装在操作系统上的语言特定依赖项(不是由您的项目构建的) |
- 锁定文件必须存在于镜像中才能被检测到。
- 必须启用 报告语言特定发现 ,并且二进制文件必须存在于镜像中才能被检测到。