View a markdown version of this page

Menangani referensi versi yang belum terselesaikan atau tidak standar di Amazon Inspector SBOM Generator - Amazon Inspector
RekomendasiJavaJavaScriptPython

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menangani referensi versi yang belum terselesaikan atau tidak standar di Amazon Inspector SBOM Generator

Amazon Inspector SBOM Generator menemukan dan mem-parsing artefak yang didukung dalam sistem dengan mengidentifikasi dependensi langsung dari file sumber. Ini bukan manajer paket dan tidak menyelesaikan rentang versi, menyimpulkan versi berdasarkan referensi dinamis, atau menangani pencarian registri. Ini mengumpulkan dependensi hanya karena mereka didefinisikan dalam artefak sumber proyek. Dalam banyak kasus, dependensi dalam manifes paket, seperti,, atau package.json pom.xmlrequirements.txt, ditentukan menggunakan versi yang belum terselesaikan atau berbasis rentang. Topik ini mencakup contoh bagaimana dependensi ini mungkin terlihat.

Rekomendasi

Amazon Inspector SBOM Generator mengekstrak dependensi dari artefak sumber, tetapi tidak menyelesaikan atau menafsirkan rentang versi atau referensi dinamis. Untuk pemindaian kerentanan yang lebih akurat dan SBOMs, sebaiknya gunakan pengidentifikasi versi semantik yang diselesaikan dalam dependensi proyek.

Java

UntukJava, Maven proyek dapat menggunakan rentang versi untuk menentukan dependensi dalam file. pom.xml 


<dependency>
    <groupId>org.inspector</groupId>
    <artifactId>inspector-api</artifactId>
    <version>(,1.0]</version>
</dependency>

Rentang menentukan bahwa versi apa pun hingga dan termasuk 1.0 dapat diterima. Namun, jika versi bukan versi yang diselesaikan, Amazon Inspector SBOM Generator tidak akan mengumpulkannya karena tidak dapat dipetakan ke rilis tertentu.

JavaScript

UntukJavaScript, package.json file dapat menyertakan rentang versi yang menyerupai berikut ini: 


"dependencies": {
    "ky": "^1.2.0",
    "registry-auth-token": "^5.0.2",
    "registry-url": "^6.0.1",
    "semver": "^7.6.0"
}

^Operator menentukan bahwa versi apa pun yang lebih besar dari atau sama dengan versi yang ditentukan dapat diterima. Namun, jika versi yang ditentukan bukan versi yang diselesaikan, Amazon Inspector SBOM Generator tidak akan mengumpulkannya karena hal itu dapat menyebabkan positif palsu selama deteksi kerentanan.

Python

UntukPython, requirements.txt file dapat menyertakan entri dengan ekspresi boolean. 

requests>=1.0.0

>=Operator menentukan bahwa versi apa pun yang lebih besar dari atau sama dengan dapat 1.0.0 diterima. Karena ekspresi khusus ini tidak menentukan versi yang tepat, Amazon Inspector SBOM Generator tidak dapat mengumpulkan versi untuk analisis kerentanan dengan andal.

Amazon Inspector SBOM Generator tidak mendukung pengidentifikasi versi non-standar atau ambigu, seperti beta, terbaru, atau snapshot. 

pkg:maven/org.example.com/testmaven@1.0.2%20Beta-RC-1_Release
catatan

Penggunaan akhiran non-standar, seperti, tidak sesuai dengan versi semantik standar dan tidak dapat dinilai untuk kerentanan dalam mesin deteksi Amazon Inspector. Beta-RC-1_Release