Гарда SBOM: Каталог опенсорс компонентов

OSS-компоненты в компании велись в Excel, из-за чего было сложно управлять рисками, лицензиями и статусами согласования. Пользователям приходилось вручную искать информацию и синхронизироваться между командами.

Чтобы упростить процесс и повысить прозрачность, мы разработали единый инструмент, где все компоненты, их статусы и риски доступны в одном месте.

Процесс

В качестве входных данных команда передала набор user story в Confluence, а также поделилась общим контекстом задачи и ключевыми ограничениями существующего процесса, построенного на работе с Excel.

Всего предусмотрено два типа списков компонентов. Прямой список представляет собой основной реестр OSS-компонентов.

Обратный список показывает те же компоненты в разрезе продуктов, в которых они используются.

В рамках MVP работа с компонентами управляется одной админской ролью. В будущем планирует разбиение ролей как минимум на пользователей, админов и согласующих компонент.

В ходе интервью с пользователями удалось определить ключевую информацию для быстрого принятия решений: название и версию компонента, статус согласования и ссылку на репозиторий.

Транзитивные зависимости компонента были представлены в двух форматах: в виде списка и графа связей, что позволяло пользователям быстро анализировать структуру зависимостей.

В ходе тестирования пользователи отмечали, что граф особенно удобен для навигации по зависимостям и быстрого перехода к связанным компонентам.

Во вкладке «Актуальные версии» пользователи могут просматривать все версии компонента в разрезе поддерживаемых ОС и быстро проверять их статус сертификации.

В короткие сроки удалось запустить MVP, собрать обратную связь пользователей и подтвердить востребованность решения для дальнейшего развития продукта.

Проект также стал проверкой дизайн-системы: готовые гайдлайны и Storybook с базовыми компонентами помогли сократить время на подготовку макетов и передачу в разработку примерно на 40‑50%.