GitLab 依赖列表

GitLab
1

依赖列表

使用依赖项列表查看项目或群组的依赖项和有关这些依赖项的关键详细信息,包括它们的已知漏洞。
它是项目中依赖项的集合,包括现有的和新的发现。
该信息有时被称为软件物料清单、SBOM 或 BOM。

适用版本

先决条件

要查看项目的依赖项,请确保满足以下要求:

  1. 必须为您的项目配置
    依赖扫描
    容器扫描 CI 作业。
  2. 您的项目至少使用 Gemnasium 支持的
    语言和包管理器
    之一。
  3. 在默认分支上运行了一条成功的流水线。您不应更改允许
    应用程序安全作业失败 的默认行为。

说明

  1. 本文以 GitHub - pig-mesh/pig: ↥ ↥ ↥ 点击关注更新,基于 Spring Cloud 2025 、Spring Boot 4、 OAuth2 的 RBAC 权限管理系统; 问题反馈:http://issue.pig4cloud.com 演示为例

配置

  1. 在项目流水线配置文件 .gitlab-ci.yml(默认文件名)中添加

    include:
  - template: Jobs/Dependency-Scanning.gitlab-ci.yml

    dependency-list-1
    dependency-list-11920×919 57.6 KB

  2. 等待流水线作业执行完成

    dependency-list-2
    dependency-list-21920×1080 259 KB

  3. 查看项目依赖列表

    1. 如果依赖存在漏洞,可将依赖展开,查看漏洞信息

      dependency-list-3
      dependency-list-31920×919 111 KB

    2. 点击漏洞,查看漏洞描述项目位置链接解决方案等信息

      dependency-list-4
      dependency-list-41920×1080 135 KB

安全配置说明

当上述正确配置后,安全配置会显示依赖项扫描启用

dependency-list-5
dependency-list-51920×1080 107 KB

GitLab 安全仪表盘
GitLab 漏洞报告
GitLab 许可证合规