$ wget https://github.com/microsoft/sbom-tool/releases/download/v<VERSION>/sbom-tool-linux-x64 $ chmod +x sbom-tool-linux-x64 $ mv sbom-tool-linux-x64 /usr/local/bin/sbom-tool 您应该能够运行sbom-tool以在终端窗口中显示帮助信息: $ sbom-tool No action was specified The Sbom tool gener...
备注: 核心是格式转换,统一使用cyclonedx格式,基于dependency-track 进行方便的安全管理 参考资料 https://github.com/microsoft/sbom-tool https://github.com/microsoft/component-detection https://github.com/CycloneDX/cyclonedx-cli https://spdx.dev/ https://spdx.github.io/spdx-spec/v2.2.2/ https://...
7月12日,微软 One Engineering System(1ES)产品主管 Danesh Kumar Badlani 与 1ES 首席项目主管 Adrian Diglio 在博客中宣布 Salus (软件物料清单生成工具,SBOM tool)已经走向开源。 SBOM (Software Bill of Materials ,软件物料清单) ,被称为开源安全危机的“特效药”,尤其在开源软件的伦理道德和安全受到挑战和...
开放Salus 的源代码是促进我们社区内合作和创新的重要一步,我们相信这将使更多的组织能够生成 SBOM,并为其发展作出贡献。 项目已托管至 GitHub 平台,地址如下:https://github.com/microsoft/sbom-tool
sbom-tool 是微软开源的创建spdx2.2 兼容的sboms 工具,支持不少语言,当然spdx 提供的spdx-sbom-generator 也是一个不错的选择 开源可视化管理上 dependency-track是一个很不错的工具,但是是基于cyclonedx 格式的,可以通过cyclonedx-cli 工具进行转换处理