依存関係スキャンとコンテナスキャンの比較
GitLabでは、これらのすべての依存関係のタイプを確実に網羅するために、依存関係スキャンとコンテナスキャンの両方を提供しています。リスク領域をできるだけ広くカバレッジするために、すべてのセキュリティスキャンツールを使用することをおすすめします:
- 依存関係スキャンはプロジェクトを分析し、プロジェクトに含まれているソフトウェア依存関係(アップストリームの依存関係を含む)と、その依存関係に含まれる既知のリスクを通知します。
- コンテナスキャンはコンテナを分析し、オペレーティングシステム(OS)パッケージに含まれる既知のリスクを通知します。
次の表は、各スキャンツールで検出できる依存関係の種類をまとめたものです:
| 機能 | 依存関係スキャン | コンテナスキャン |
|---|---|---|
| 依存関係を導入したマニフェスト、ロックファイル、または静的ファイルを特定します | ||
| 開発依存関係 | ||
| お使いのリポジトリにコミットされたロックファイル内の依存関係 | 1 | |
| Goでビルドされたバイナリ | 2 | |
| オペレーティングシステムによってインストールされた動的にリンクされた言語固有の依存関係 | ||
| オペレーティングシステムの依存関係 | ||
| オペレーティングシステムにインストールされた言語固有の依存関係(プロジェクトでビルドされたものではありません) |
- 検出するには、ロックファイルがイメージに存在している必要があります。
- 言語固有のレポートをレポートするを有効にする必要があり、検出するには、バイナリがイメージに存在している必要があります。