Essensen
Utviklere mangler i dag et enkelt og direkte verktøy for å få oversikt over sårbarheter i egne applikasjoner – spesielt lokalt i utviklingsmiljøet.
For å styrke dette arbeidet utvider vi NAIS CLI med støtte for Vulnerabilities.
Løsning
En sentral problemstilling er hvilke sårbarhetsdata som skal eksponeres via NAIS API, og hvilke som fortsatt kun finnes i v13s.
Vi må derfor ta en bevisst beslutning om:
- hvilke deler av sårbarhetsinformasjonen som skal løftes inn i NAIS API
- hvor mye funksjonalitet som er nødvendig i første iterasjon (MVP)
- hvordan vi balanserer verdi for utviklere mot kompleksitet og vedlikeholdskostnad
Hvorfor NAIS API som backend?
Fordeler:
- NAIS API håndterer roller, tilgangskontroll og team-autorisasjon
- Utviklere får kun innsikt i egne applikasjoner
- Vi tilbyr en sikker og konsistent opplevelse
- CLI slipper å forholde seg direkte til interne systemer
Begrensning:
- Ikke all sårbarhetsinformasjon i v13s er eksponert via NAIS API
- Å løfte alt inn vil øke kompleksitet og investeringskostnad
- Derfor velger vi en tydelig avgrenset MVP.
Mål
Utviklere skal lokalt kunne:
- Se sårbarhetsstatus for egne workloads
- Slå opp sårbarheter på image-nivå
- Få en rask oversikt over risiko og dekning
- Slippe å bruke interne dashboards for daglig arbeid
Leveranse (MVP)
Følgende kommandoer prioriteres:
nais vulnerabilities get summary → Team-scope summary (coverage, counts, risk)
nais vulnerabilities list summary / list all → Sårbarheter per workload (filtrerbar)
nais vulnerabilities find cve <id> → CVE-oppslag
Avgrensning i MVP
Vi eksponerer kun nødvendig “fix-data” via NAIS API:
- Workload + image referanse
- Package
- CVE ID, severity, CVSS
- Tidsstempler (severitySince / updated)
- LatestVersion (for oppgradering)
Rå SBOM-detaljer og avansert analyse forblir i v13s i første iterasjon.
Investeringsvilje
3 uker 2 man
Dette dekker:
- Utvikling og integrasjon av den nye CLI-kommandoen.
- Dokumentasjon og veiledning.
Annet
https://github.com/nais/v13s/tree/main/pkg/cli/commands
Essensen
Utviklere mangler i dag et enkelt og direkte verktøy for å få oversikt over sårbarheter i egne applikasjoner – spesielt lokalt i utviklingsmiljøet.
For å styrke dette arbeidet utvider vi NAIS CLI med støtte for Vulnerabilities.
Løsning
En sentral problemstilling er hvilke sårbarhetsdata som skal eksponeres via NAIS API, og hvilke som fortsatt kun finnes i v13s.
Vi må derfor ta en bevisst beslutning om:
Hvorfor NAIS API som backend?
Fordeler:
Begrensning:
Mål
Utviklere skal lokalt kunne:
Leveranse (MVP)
Følgende kommandoer prioriteres:
nais vulnerabilities get summary → Team-scope summary (coverage, counts, risk)nais vulnerabilities list summary / list all → Sårbarheter per workload (filtrerbar)nais vulnerabilities find cve <id> → CVE-oppslagAvgrensning i MVP
Vi eksponerer kun nødvendig “fix-data” via NAIS API:
Rå SBOM-detaljer og avansert analyse forblir i v13s i første iterasjon.
Investeringsvilje
3 uker 2 man
Dette dekker:
Annet
https://github.com/nais/v13s/tree/main/pkg/cli/commands