Help us learn about your current experience with the documentation. Take the survey.
依赖扫描与容器扫描对比
GitLab 提供 Dependency Scanning 和 Container Scanning 两种扫描,以确保覆盖所有这些依赖类型。为了尽可能覆盖您的风险区域,我们鼓励您使用我们所有的安全扫描工具:
- Dependency Scanning 分析您的项目,告诉您哪些软件依赖(包括上游依赖)已被包含在项目中,以及这些依赖包含哪些已知风险。
- Container Scanning 分析您的容器,并告诉您操作系统(OS)包中的已知风险。
下表总结了每种扫描工具可以检测的依赖类型:
| 功能 | 依赖扫描 | 容器扫描 |
|---|---|---|
| 识别引入依赖的清单、锁文件或静态文件 | ||
| 开发依赖 | ||
| 提交到仓库的锁文件中的依赖 | 1 | |
| Go 构建的二进制文件 | 2 | |
| 操作系统安装的动态链接的语言特定依赖 | ||
| 操作系统依赖 | ||
| 操作系统上安装的语言特定依赖(非您的项目构建) |
- 必须在镜像中存在锁文件才能被检测到。
- 必须启用 报告语言特定发现,并且镜像中必须存在二进制文件才能被检测到。