Escaneo SCA
El Análisis de Composición de Software (SCA) identifica vulnerabilidades conocidas (CVEs) en las librerías y dependencias de terceros de tu proyecto. Gerion utiliza OSV-Scanner de Google, que consulta la base de datos OSV.
Ejecutar
gerion sca-scan [RUTA]# Escanear el directorio actualgerion sca-scan .
# Guardar resultados como JSONgerion sca-scan . --format json --output-file sca.json
# Enviar resultados a la API de Geriongerion sca-scan . --api-url $GERION_API_URL --api-key $GERION_API_KEYEcosistemas soportados
| Ecosistema | Ficheros reconocidos |
|---|---|
| Node.js | package-lock.json, yarn.lock, pnpm-lock.yaml |
| Python | requirements.txt, Pipfile.lock, poetry.lock, pyproject.toml |
| Go | go.mod, go.sum |
| Rust | Cargo.lock |
| Java / Maven | pom.xml |
| Java / Gradle | gradle.lockfile |
| Ruby | Gemfile.lock |
| PHP | composer.lock |
| .NET | packages.lock.json, packages.config |
| Swift | Package.resolved |
| Dart / Flutter | pubspec.lock |
| Conan (C/C++) | conan.lock |
| Linux (Alpine) | paquetes instalados del sistema |
| Linux (Debian/Ubuntu) | base de datos dpkg |
Opciones
| Opción | Descripción |
|---|---|
--format | Formato de salida: json | markdown | sarif |
--output-file | Guardar resultados en fichero (deshabilita envío a API) |
--api-url | URL del Gerion API Gateway |
--api-key | API key M2M |
--timeout | Timeout en segundos (defecto: 180) |
--log-level | debug | info | warning | error |
Falsos positivos automáticos
Si la versión instalada del paquete es mayor o igual a la versión que corrige la vulnerabilidad, Gerion marca el hallazgo como falso positivo automáticamente y no lo incluye en los resultados.