What is the primary purpose of this scanning tool?

이 스캔 도구의 주요 목적은 프로젝트 내에서 '수명 종료(EOL)' 소프트웨어 패키지를 식별하고 사용자에게 이러한 문제의 우선순위를 정하고 해결할 수 있는 자세한 정보와 컨텍스트를 제공하는 것입니다. 이를 통해 조직은 규정 준수를 유지하고 오래된 소프트웨어 구성 요소와 관련된 보안 위험을 완화할 수 있습니다.

How can users initiate a scan, and what are the different methods available?

사용자는 명령줄 인터페이스(CLI)를 통해 수동으로 스캔을 시작하거나 CI/CD 파이프라인 내에서 자동화된 방식으로 실행되도록 설정할 수 있습니다. 수동 스캔의 경우 사용자는 프로젝트 디렉터리로 이동하여 명령을 실행하거나 명령에 직접 파일 경로를 지정할 수 있습니다.

What happens during the scanning process if an SBOM is not found?

스캔한 디렉토리에서 SBOM(소프트웨어 자재 명세서)을 찾을 수 없는 경우, 시스템은 프로젝트 내의 패키지를 나열하는 매니페스트(예: package-lock.json 또는 pom.xml)를 찾습니다. 그런 다음 이 매니페스트를 사용하여 수명이 다한 패키지를 식별하기 위해 시스템을 쿼리하기 전에 장치에 로컬로 SBOM을 생성합니다.

Once a scan is complete, how can users view and analyze the results?

스캔 후 사용자는 결과를 소비할 수 있는 두 가지 주요 옵션이 있습니다: 기술적 소비 경로 - 사용자는 추가 명령을 실행하여 스캔 데이터를 JSON 형식으로 내보낼 수 있습니다. 이를 통해 세부 페이로드를 선호하는 비즈니스 인텔리전스(BI) 도구(예: DOMO, Looker, Snowflake, Excel)에 로드하고 다른 보안 스캐너의 데이터와 대조하여 사용자 지정 분석을 수행할 수 있습니다. 시각적 소비 경로 - 시스템에서 웹 기반 보고서에 대한 공유 가능한 URL을 자동으로 생성합니다. 이 보고서는 수명이 다한 구성 요소, 취약점 및 기타 관련 정보를 강조하여 스캔한 패키지에 대한 시각적 요약과 자세한 분석을 제공합니다.

How does the tool provide context and help prioritize end-of-life packages?

이 도구는 수명 종료 패키지에 대한 중요한 컨텍스트를 제공하여 우선순위를 정하는 데 도움을 줍니다. 각 EOL 패키지에 대해 다음을 표시합니다: 수명이 종료된 시기, 관련 취약점(CVE)의 수, 해당 패키지가 속한 에코시스템, 수명이 종료된 날 수(days eol), 마이그레이션할 다음 안정 버전, 현재 패키지의 버전 수(버전 아웃). 이러한 데이터 포인트, 특히 '종료 일수'와 '버전 아웃'은 마이그레이션에 필요한 잠재적인 변경 사항 수와 노력 수준을 나타내도록 설계되어 사용자가 위험과 개발 부담에 따라 우선순위를 정할 수 있도록 도와줍니다.