View a markdown version of this page

Tratamento de referências de versões não resolvidas ou não padrão no Amazon Inspector SBOM Generator - Amazon Inspector
RecomendaçõesJavaJavaScriptPython

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Tratamento de referências de versões não resolvidas ou não padrão no Amazon Inspector SBOM Generator

O Amazon Inspector SBOM Generator localiza e analisa artefatos compatíveis em um sistema identificando dependências diretamente dos arquivos de origem. Não é um gerenciador de pacotes e não resolve intervalos de versões, infere versões com base em referências dinâmicas ou lida com pesquisas de registro. Ele coleta dependências somente conforme elas são definidas nos artefatos de origem do projeto. Em muitos casos, dependências em manifestos de pacotes, como package.json, pom.xml ou requirements.txt, são especificadas usando versões não resolvidas ou baseadas em intervalos. Este tópico inclui exemplos de como essas dependências podem ser.

Recomendações

O Amazon Inspector SBOM Generator extrai dependências dos artefatos de origem, mas não resolve nem interpreta intervalos de versões ou referências dinâmicas. Para uma análise de vulnerabilidade mais precisa e SBOMs, recomendamos o uso de identificadores de versão semânticos resolvidos nas dependências do projeto.

Java

Para Java, projetos do Maven podem usar intervalos de versão para definir dependências no arquivo pom.xml. 


<dependency>
    <groupId>org.inspector</groupId>
    <artifactId>inspector-api</artifactId>
    <version>(,1.0]</version>
</dependency>

O intervalo especifica que qualquer versão até 1.0, inclusive, é aceitável. No entanto, o Amazon Inspector SBOM Generator não coleta uma versão não resolvida, pois ela não pode ser mapeada para uma versão específica.

JavaScript

Para JavaScript, o arquivo package.json pode incluir intervalos de versão semelhantes aos seguintes: 


"dependencies": {
    "ky": "^1.2.0",
    "registry-auth-token": "^5.0.2",
    "registry-url": "^6.0.1",
    "semver": "^7.6.0"
}

O operador ^ especifica que qualquer versão maior que ou igual à versão especificada é aceitável. No entanto, o Gerador de SBOM do Amazon Inspector não coleta uma versão não resolvida, pois isso pode levar a falsos positivos durante a detecção de vulnerabilidades.

Python

Para Python, o arquivo requirements.txt pode incluir entradas com uma expressão booliana. 

requests>=1.0.0

O operador >= especifica que qualquer versão maior que ou igual à 1.0.0 é aceitável. Como essa expressão particular não especifica uma versão exata, o Amazon Inspector SBOM Generator não pode coletar de forma confiável uma versão para análise de vulnerabilidades.

O Amazon Inspector SBOM Generator não é compatível com identificadores de versão não padrão ou ambíguos, como beta, latest ou snapshot. 

pkg:maven/org.example.com/testmaven@1.0.2%20Beta-RC-1_Release
nota

O uso de um sufixo não padrão, como Beta-RC-1_Release, não é compatível com o versionamento semântico padrão e não pode ser avaliado quanto a vulnerabilidades no mecanismo de detecção do Amazon Inspector.