Software Composition Analysis

GitHub DevSecOps Teil 3: Software Composition Analysis mit Dependabot und CRDA

19. Januar 2023·4 min

DevSecOps GitHub CI/CD DevOps SCA Software Composition Analysis Dependency Scanning Vulnerability Management Dependabot

GitHub liefert kein Default-SCA-Tool wie GitLab. Du musst zwei Dinge kombinieren: das Plattform-Feature Dependabot und eine SCA-Action aus dem Marketplace. In Teil 3 der GitHub DevSecOps Serie verdrahten Patrick Steger und ich beides in unsere Pipeline — und merken auf die harte Tour, dass der Marketplace-Pfad nicht so glatt läuft, wie es die Slides suggerieren.

GitLab DevSecOps Teil 3: Software Composition Analysis mit Gemnasium

17. August 2022·4 min

DevSecOps GitLab CI/CD DevOps SCA Software Composition Analysis Dependency Scanning Vulnerability Management Gemnasium

Dein Code ist der kleine Teil. Die Libraries, die du reinziehst, sind der grosse Teil — und genau dort steckt der Grossteil deiner CVEs. In Teil 3 der GitLab DevSecOps Serie bauen Patrick Steger und ich eine kleine Spring-Boot-Demo auf, hängen sie in eine GitLab-Pipeline und ergänzen anschliessend Software Composition Analysis mit einer einzigen Include-Zeile.

↑