国际通用的SBOM标准格式包括SPDX、CDX和SWID,前两者由于记录着更详细的依赖信息而得到了更广泛的使用。 DSDX(Digital Supply-chain Data Exchange)是由OpenSCA社区主导,开源中国、电信研究院、中兴通讯联合发起的中国首个数字供应链SBOM格式,更适配中国企业实战化应用实践场景,并且能兼容SPDX、CDX、SWID国际标准和国内...
6. 输出和交付SBOM:SCA工具会将生成的SBOM输出为机器可读的格式(如XML、JSON等),并交付给需要的相关方(软件开发团队、安全团队、合规性检查团队等),可以使用SBOM进行供应链安全管理、软件资产管理、风险评估、漏洞修复、安全事件响应等工作。 充分利用SBOM,确保软件供应链安全 生成SBOM之后,如何充分利用这份清单是保障...
在实际操作中,可通过OpenSCA生成SPDX/CDX/DSDX或SWID格式的SBOM清单,例如输出SBOM清单或利用SBOM获取漏洞和许可证信息,其中推荐使用CDX和DSDX,因为它们需要包含Purl信息。
Tern 是一个软件包检查工具,可以为容器创建软件物料清单 (SBoM)。 它是用 Python3 编写的,带有少量 shell 脚本。 目录 开始使用 Vagrant 使用燕鸥 为Docker 镜像生成 SBoM 报告 从Dockerfile 生成 SBoM 报告 生成锁定的 Dockerfile 报告格式 了解报告 人类可读格式 JSON 格式 HTML 格式 YAML 格式 SPDX 标签值格...
使用OpenSCA按需输出标准格式SBOM OpenSCA支持输出SPDX/CDX/DSDX及SWID标准格式SBOM文件,一站式解决各种需求;从v3.0.0开始,还新增了通过SBOM清单输出依赖、漏洞及许可证信息的能力。 | 使用样例 ① 输出SBOM清单 opensca-cli -path ${project_path} -out output.dsdx ...
SPDX标准格式SBOM清单中包含用于描述许可证信息的详细字段,并涵盖了代码文件及片段引用场景;自v2.1开始,安全性方面,也已支持与漏洞数据的关联。SPDX支持的输出格式包括SPDX、XML、JSON、RDF和YAML。 1.3 字段说明 SPDX(v2.2) 格式标准 SBOM 包含以下部分: 02 CDX 2.1 许可证 apache-2.0 2.2 格式简介 CDX (Cyc...
4.生成 SBOM数据:SCA工具会将生成的数据与知识库进行匹配对比,与此同时,根据用户所选的SBOM格式标准(如SPDX、CycloneDX、SWID等)生成相应的SBOM结构,将比对后的数据填入到相应字段。 5. 验证和优化SBOM:在生成SBOM后,SCA工具可能会进行一些验证和优化操作。验证可以包括检查SBOM的格式是否正确、组件信息是否完整、依...
使用OpenSCA按需输出标准格式SBOM OpenSCA支持输出SPDX/CDX/DSDX及SWID标准格式SBOM文件,一站式解决各种需求;从v3.0.0开始,还新增了通过SBOM清单输出依赖、漏洞及许可证信息的能力。 | 使用样例 ① 输出SBOM清单 opensca-cli -path${project_path} -outoutput.dsdx ...
使用OpenSCA按需输出标准格式SBOM OpenSCA支持输出SPDX/CDX/DSDX及SWID标准格式SBOM文件,一站式解决各种需求;从v3.0.0开始,还新增了通过SBOM清单输出依赖、漏洞及许可证信息的能力。 | 使用样例 ① 输出SBOM清单 jsopensca-cli -path ${project_path} -out output.dsdx ...