SCA

점검 지원 분류

  • 현재 지원 가능

    • 컴파일 없이 점검 (Lockfiles)

    • gradle.lock 누락 시에도 점검 가능

컴파일을 통한 점검

1. SBOM 추출을 이용한 점검

컴파일이 가능할 경우 컴파일시 SBOM을 추출하는 설정을 통해 프로젝트 관련 패키지 정보를 추출한 다음 해당 SBOM을 사용해 진단이 가능합니다.

2. 컴파일된 바이너리를 이용한 점검

미리 컴파일된 jar 또는 node_modules 대상으로 점검이 가능합니다.

컴파일 없이 점검

컴파일 없이 점검시 Lockfile이 필요합니다. Lockfile이 없을 경우 버전 정보를 가져올 방법이 없기 때문입니다.

언어
필요한 Lockfile(s)

C/C++

  • conan.lock

Dart

  • pubspec.lock

Elixir

  • mix.lock

Go

  • go.mod

Haskell

  • cabal.project.freeze

  • stack.yaml.lock

Java

  • buildscript-gradle.lockfile

  • gradle.lockfile

  • gradle/verification-metadata.xml

  • pom.xml

Javascript

  • package-lock.json

  • pnpm-lock.yaml

  • yarn.lock

.NET

  • deps.json

PHP

  • composer.lock

Python

  • Pipfile.lock

  • poetry.lock

  • requirements.txt

  • pdm.lock

  • uv.lock

R

  • renv.lock

Ruby

  • Gemfile.lock

Rust

  • Cargo.lock

이미지/컨테이너 점검

docker container와 같은 용도의 이미지 대상으로 점검이 가능합니다.

PreviousSASTNextExtensions

Last updated