SBOM-TOOL 是通过源码仓库、代码指纹、构建环境、制品信息、制品内容、依赖组件等多种维度信息,为软件项目生成软件物料清单(SBOM)的一款CLI工具。 功能特性 信息采集 采集源代码工程信息,包括仓库地址、版本信息等 采集并生成代码指纹,利用一定算法生成代码指纹 ...
SBOM-TOOL是一款基于Go语言实现、无其他特殊依赖的开源项目,专门用于生成软件项目的物料清单(SBOM),并具备易扩展、易使用的特性。它通过多维度信息采集,为用户提供全面而准确的软件物料清单。 SBOM工具有哪些特性? 帮开发者全面掌握软件的依赖情况 SBOM-TOOL能够分析源代码、二进制制品,为项目提供完整的依赖信息,确保生...
pdsyw@pdsyw-PC:~/Desktop$package-sbom-tool validate -hUsage:package-sbom-tool validate [arguments]Example:package-sbom-tool validate -i sbom.spdx.jsonarguments:-f stringthe SPDX file format (default'spdx-json')-i stringthe sbom file which will be validated-v enable verbose modepdsyw@pdsy...
首先介绍下什么是 SBOM(Software Bill of Materials),我们称之为软件物料清单,是软件供应链中的术语。软件供应链是用于构建软件应用程序(软件产品)的组件、库和工具的列表,而物料清单则声明这些组件、库的清单,类似于食品的配料清单。软件物料清单可以帮助组织或者个人避免使用有安全漏洞的软件。 (3) of the FD&C Act). SBOMs can also be an important tool for transparency with users of potential risks as part of labeling as addressed later ...
# install CycloneDXSBOMgeneration toolforPython pip3 install cyclonedx-bom # install dependencies specifiedinpyproject.toml pip3 install.# generate CycloneDXSBOMpython3-m cyclonedx_py--format json-e # leave the created venv deactivate SBOM被生成并存储在cyclonedx.json文件中。需要注意,输出文件还包含cyclon...
作为GitHub CLI 的替代方案,我们还可以在构建时使用 GitHub Action 来输出 SBOM。GitHub 提供了自己的 GitHub Action,以便于从依赖关系图中导出 SBOM。如果愿意的话,还可以使用微软的 sbom-tool,或者基于 Syft 的 Anchore SBOM Action。 该公司说,未来还可以通过特定的 RESTAPI导出 SBOM。