Gibt es eine Überlegung, Repos bei openCode automatisch auf Sicherheitslücken scannen zu lassen? Bei GitHub gibt es eine so ähnliche Funktion. Bevor wir in SH uns dazu Gedanken machen, würde ich gerne in Erfahrung bringen, ob da schon etwas geplant ist.
2 „Gefällt mir“
Das würde uns in TH auch interessieren. Solche Werkzeuge stellen für Softwareanbieter einen Anreiz dar, die Plattform zu nutzen.
1 „Gefällt mir“
Hey @oc000041099719 !
Ja, wir planen eine Erweiterung des Badge-Programms mit einem Security-Badge. Damit sieht man direkt im Softwareverzeichnis, ob bei scannbaren Projekten in den letzten Releases schwere Sicherheitslücken in Releases und Releaseartefakten erkennbar sind. Technisch gesehen wird hier aktuell der Advisor des ORT (2) und perspektivisch noch Trivy eingesetzt. Geplant ist, dass eine Honorierung von vex, etwa über vex.json seitens der Badges dabei unterstützt wird.
Leider haben wir Stand heute kein UI-verankertes CVE Scanning für die Entwickler:innen im GitLab, da wir die GitLab Community Edition nutzen. Einzelne Projekte führen Scans über die Pipelines aus - wir halten es für sehr sinnvoll die Vorgänge zu teilen und so zu guten Vorlagen zu kommen.
Leicht off-topic, aber vielleicht trotzdem Interessant (auch für dich, @oc000024143138 ?): Wir haben vorhin ein Repo veröffentlicht mit unseren Trivy-Cache; openCode / ContainerCache Trivy · GitLab.
2 „Gefällt mir“