MASTG-TEST-0275: 应用 SBOM 中存在已知漏洞的依赖项

概述

此测试用例通过使用软件物料清单 (SBOM) 检查 iOS 应用程序中是否存在具有已知漏洞的依赖项。 SBOM 应该采用 CycloneDX 格式，这是一种描述软件组件和依赖项的标准。

步骤

1. 请开发团队共享 CycloneDX 格式的 SBOM，或者，如果您可以访问原始源代码，请按照 通过创建 SBOM 对 iOS 依赖项进行软件成分分析 (SCA)来创建一个。
2. 将 SBOM 上传到 dependency-track。
3. 检查 dependency-track 项目中是否使用了存在漏洞的依赖项。

观察

输出应包括依赖项的列表，其中包含名称和 CVE 标识符（如果有）。

评估

如果可以找到具有已知漏洞的依赖项，则测试用例失败。