第 3 章 配置 Visual Studio Code 以使用依赖分析
您可以使用 Microsoft 的 Visual Studio Code (VS Code)编辑器应用程序的依赖分析扩展,获取红帽受信任的配置文件分析器服务。通过这个扩展,您可以访问最新的开源漏洞信息,并深入了解应用程序依赖的软件包。Red Hat Dependency Analytics 扩展为可用的最新漏洞信息使用以下数据源:
- ONGuard 服务,集成 开源漏洞(OSV) 和 国家漏洞数据库(NVD) 数据源。当为 ONGuard 服务指定一组软件包时,对 OSV 的查询会检索相关的漏洞信息,然后查询 NVD 以了解公共漏洞和暴露(CVE)信息。
依赖项分析支持以下编程语言:
- Maven
- 节点
- Python
- Go
重要
默认情况下,Vis Studio Code 直接在系统 PATH
环境中的终端中执行二进制文件。您可以将 Visual Studio Code 配置为查找其他位置以运行必要的二进制文件。您可以通过访问 扩展设置 来配置。点 Workspace 选项卡,搜索单词 executable,并指定您要用于 Maven、Node、Python 或 Go 的二进制文件的绝对路径。
注意
Dependency Analytics 扩展是由红帽维护的在线服务。依赖项分析只访问清单文件,以便在显示结果前分析应用程序依赖项。
先决条件
- 在工作站上安装 Visual Studio Code。
-
对于 Maven 项目,分析
pom.xml
文件,您必须在系统的PATH
环境中具有mvn
二进制文件。 -
对于 Node 项目,分析
package.json
文件,您必须在系统的PATH
环境中具有npm
二进制文件。 -
对于 Go 项目,分析
go.mod
文件,您必须在系统的PATH
环境中具有go
二进制文件。 -
对于 Python 项目,分析
requirements.txt
文件,您必须在系统的PATH
环境中具有python3/pip3
或python/pip
二进制文件。此外,Python 应用需要位于 VS Code 的解释器路径 中。
流程
- 打开 Visual Studio Code 应用。
- 从文件菜单中,单击 View,然后单击 Extensions。
- 搜索 Marketplace for Red Hat Dependency Analytics。
- 点 Install 按钮安装扩展。等待安装完成。
要启动扫描应用程序以了解安全漏洞,并查看漏洞报告,您可以执行以下操作之一:
- 打开清单文件,将鼠标悬停在由内联组件分析标记的依赖项上,在依赖项名称下由 wavy-red 行指示,点 Quick Fix,然后点 Detailsed Vulnerability Report。
- 打开清单文件,然后点 pie chart 图标。
- 在 Explorer 视图中点清单文件右键,点 Red Hat Dependency Analytics Report…。
- 在漏洞弹出警报消息中,点 Open detailed vulnerability report。