SBOM生成之CycloneDX

已于 2024-07-02 16:46:29 修改
阅读量1.1k 收藏 6
点赞数 10
分类专栏: 杂项 文章标签: php node sbom cyclonedx
于 2024-05-29 10:01:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/made4971/article/details/139272537
版权

SBOM是一份信息详尽、机器可读的形式化清单,其中囊括了软件所有组件的详尽信息及它们之间的层级关系。

  • 主流SBOM格式标准分别是SPDX、CycloneDX和SWID
  • CycloneDX格式:是一种轻量级的标准,专为应用安全和供应链组件分析而设计,专注于提供快速、可靠的软件组件信息,而不是提供信息详尽的元数据。这使得CycloneDX在处理大型、复杂的软件项目时具有较高的性能

安装CycloneDX

PHP项目

composer global require --dev cyclonedx/cyclonedx-php-composer

# 若报错In PluginManager.php line 752:                                          
#  cyclonedx/cyclonedx-php-composer (installed globally) contains a Composer p  
#  lugin which is blocked by your allow-plugins config. You may add it to the   
#  list if you consider it safe.
# 运行以下命令解决
# composer global config --no-plugins allow-plugins.cyclonedx/cyclonedx-php-composer true

# 获取帮助
composer CycloneDX:make-sbom --help

# 生成sbom文件
composer CycloneDX:make-sbom --output-file=/workspace/projectname/reports/sbom.xml -d /workspace/projectname/
# --output-file sbom文件生成地址
# -d 指定项目目录,也就是composer.json所在目录

Node项目

# 安装
# npm方式
npm install -g @cyclonedx/cdxgen

# 获取帮助
cdxgen --help

# 生成sbom
cdxgen -r -o /workspace/projectname/reports/sbom.json

go项目

# 安装
go install github.com/CycloneDX/cyclonedx-gomod/cmd/cyclonedx-gomod@latest
#将会在gopath/bin/ 目录下生成cyclonedx-gomod可执行文件
# 生成sbom
cyclonedx-gomod app --output ./xxx.xml

cyclonedx-gomod参数介绍
参数一
app生成仅包含目标应用实际依赖的 SBOM,特别适用于跟踪最终产品的具体组成
mod提供了一个全局视角,包括了所有包所需的模块,适合用于维护和监控整个模块的依赖情况。
bin支持从二进制文件反向生成 SBOM,对于验证已有二进制发布物的成分十分有用
参数二
-output将结果输出到文件,而不是打印到控制台,默认为xml格式,
可以使用参数-json=true来输出json格式的文件

其他语言

cyclonedx全部语言库https://github.com/orgs/CycloneDX/repositories?type=all

2024最新版本idea SpringBoot创建web项目(详细介绍如何搭建和配置spring boot web,以及写出一个简单的前后端交互界面)
m0_74825152的博客
02-08 1074
新建项目 -> Spring Boot ->自定义写你的项目名称、项目位置等、语言java、类型选择maven,最后选择JDK版本,这里推荐17以上,对应Java也一样,最后选jar包 -> next接下来点击创建,等待idea构建完毕。
cyclonedx-core-java:用于创建和验证BOM的CycloneDX SBOM模型和实用程序
04-09
CycloneDX Core(Java) CycloneDX核心模块提供了SBOM的模型表示以及用于帮助创建,验证和解析SBOM的实用程序。 CycloneDX是一种轻量级的软件物料清单(SBOM)规范,旨在用于应用程序安全性上下文和供应链组件分析。 Maven用法 < dependency> < groupId>org.cyclonedx</ groupId> < artifactId>cyclonedx-core-java</ artifactId> < version>4.1.1</ version> </ dependency> CycloneDX模式支持 下表提供有关此节点模块的版本,支持的CycloneDX模式版本以及输出格式选项的信息。 使用该库的最新可能版本,该版本与目标系统支持的CycloneDX版本兼容。 版本 模式版本 格式
cyclonedx-gradle-plugin:从Gradle项目创建CycloneDX软件物料清单(SBOM
02-04
CycloneDX Gradle插件 CycloneDX Gradle插件创建一个项目的所有直接和传递依赖项的集合,并从结果中创建有效的CycloneDX物料清单文档。 CycloneDX是一种轻量级的BOM规范,易于创建,易于阅读且易于解析。 用法 执行: gradle cyclonedxBom 输出CycloneDX生成信息: gradle cyclonedxBom -info 排除物料清单序列号: gradle cyclonedxBom -Pcyclonedx.includeBomSerialNumber=false build.gradle (节选) plugins {
cyclonedx-maven-plugin:从Maven项目创建CycloneDX软件物料清单(SBOM
02-03
CycloneDX Maven插件 CycloneDX Maven插件创建项目的所有直接和传递依赖项的集合,并创建有效的CycloneDX SBOMCycloneDX是一种轻量级的软件物料清单(SBOM)规范,旨在用于应用程序安全上下文和供应链组件分析。 Maven用法 <!-- uses default configuration --> < plugins> < plugin> < groupId>org.cyclonedx</ groupId> < artifactId>cyclonedx-maven-plugin</ artifactId> < version>2.2.0</ version> </ plugin> </ plugins> 默认值 < plugins> < plugin> < groupId>org.cyclonedx</ groupId> < artifactId>cyclonedx-maven-plugin</ artif
「 网络安全常用术语解读 」SBOM主流格式CycloneDX详解
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
05-03 2937
CycloneDX是软件供应链的现代标准。CycloneDX物料清单(BOM)可以表示软件、硬件、服务和其他类型资产的全栈库存。该规范由OWASP基金会发起并领导,由Ecma International标准化,并得到全球信息安全界的支持,如今CycloneDX已经是OWASP旗舰项目。
CycloneDX Gradle 插件使用指南
gitblog_00029的博客
08-31 3032
CycloneDX Gradle 插件使用指南 cyclonedx-gradle-pluginCreates CycloneDX Software Bill of Materials (SBOM) from Gradle projects项目地址:https://gitcode.com/gh_mirrors/cy/cyclonedx-gradle-plugin 项目介绍 CycloneDX Gr...
简单三步快速生成SBOM软件物料清单!免费不限应用!
cclover0824的博客
11-23 688
下载插件配置路径启动检测就能拿到软件供应链安全图谱实体要素清单、SBOM物料清单报告、软件基本信息、组件数、许可引用数、漏洞数及风险等级,快快滴~
cyclonedx-gomod:从Go模块创建CycloneDX软件物料清单(SBOM
04-02
环己酮-戈莫德 cyclonedx-gomod从Go模块创建CycloneDX软件物料清单(SBOM) 安装 预构建的二进制文件在页面上可用。 从来源 go install github.com/CycloneDX/cyclonedx-gomod@latest 从源代码构建需要Go 1.16或更高版本。 兼容性 cyclonedx-gomod将为的最新版本的CycloneDX规范生成BOM。 您可以使用在多种BOM格式或规范版本之间进行转换。 用法 Usage of cyclonedx-gomod: -json Output in JSON format -module string Path to Go module (default ".") -noserial Omit serial number -novprefix
软件供应链安全:深度解析软件物料清单(SBOM生成与管理
java专栏
05-17 840
SBOM不仅是软件供应链透明度的基石,也是强化安全性、促进合规的重要工具。通过上述深度解析与实例演示,希望您能掌握SBOM生成与管理技巧,为您的软件项目筑起一道坚固的安全防线。
CycloneDX cdxgen:一款多语言支持的SBOM生成工具
最新发布
gitblog_00720的博客
12-27 927
CycloneDX cdxgen:一款多语言支持的SBOM生成工具 cdxgen Creates CycloneDX Software Bill of Materials (SBOM) for your projects from source and container images. Supports many la...
cyclonedx-node-module:从Node.js项目创建CycloneDX软件物料清单(SBOM
04-29
用于Node.js的CycloneDX模块创建一个有效的CycloneDX软件物料清单(SBOM),其中包含所有项目依赖项的汇总。 CycloneDX是一种轻量级的SBOM规范,易于创建,人和机器可读且易于解析。 要求 Node.js v8.0.0或更高版本 ...
cyclonedx-web-tool:用于处理 CycloneDX BOM 的基于 Web 的工具
08-04
CycloneDX 网络工具 用于处理 CycloneDX BOM 的基于 Web 的工具。 支持的功能: 在不同版本和格式之间转换 验证 将多个 BOM 合并为一个 BOM BOM 数据隐私 Web 工具构建为“静态站点”,使用 WebAssembly 进行 BOM 处理。 所有处理都在您的浏览器客户端完成。 提交的 BOM 数据不会传输到其他地方。 自托管 Web 工具构建为“静态站点”。 任何标准的 Web 服务器都应该可以工作。 支持的浏览器 以下浏览器的当前版本支持 Web 工具: Apple Safari(包括在 iOS 上) 谷歌浏览器(包括在 Android 上) 微软边缘 火狐浏览器 执照 根据 Apache 2.0 许可条款授予修改和重新分发的权限。 有关完整许可证,请参阅文件。 贡献 欢迎拉取请求。 但请先阅读。 要在本地构建和测试解决方案,您应该安装
tern:Tern 是一个软件组合分析工具和 Python 库,可为容器镜像和 Dockerfile 生成软件材料清单。 Tern 生成SBoM 将以各种格式(包括人类可读的、JSON、HTML、SPDX 等)为您提供容器内部内容的逐层视图
08-03
欢迎来到 Tern 项目 Tern 是一个软件包检查工具,可以为容器创建软件物料清单 (SBoM)。 它是用 Python3 编写的,带有少量 shell 脚本。 目录 开始使用 Vagrant 使用燕鸥 为 Docker 镜像生成 SBoM 报告 从 Dockerfile 生成 SBoM 报告 生成锁定的 Dockerfile 报告格式 了解报告 人类可读格式 JSON 格式 HTML 格式 YAML 格式 SPDX 标签值格式 SPDX JSON 格式 扩展 扫码 cve-bin-工具 运行测试 项目状态 贡献 行为守则 创建报告格式 创建工具扩展 添加到命令库 社区会议信息 什么是特恩? Tern 是一个检查工具,用于查找安装在容器映像中的包的元数据。 整体操作如下所示: 它使用overlayfs挂载用于构建容器镜像的第一个文件系统层(也称为BaseOS) 然后它从 ch
Python库 | cyclonedx_python_lib-0.11.0-py3-none-any.whl
03-28
资源分类:Python库 所属语言:Python 资源全名:cyclonedx_python_lib-0.11.0-py3-none-any.whl 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
Python库 | cyclonedx_bom-1.5.0-py3-none-any.whl
03-17
python库,解压后可用。 资源全名:cyclonedx_bom-1.5.0-py3-none-any.whl
快速生成CycloneDX SBOM的Gradle插件使用指南
CycloneDX Gradle插件是一个集成到Gradle构建工具中的插件,它能够帮助开发者自动生成CycloneDX格式的SBOM文档。这个插件通过对Gradle项目的所有直接和传递依赖项进行扫描,生成一个包含这些依赖项详细信息的文档。...
Node.js项目生成CycloneDX SBOM的高效工具介绍
资源摘要信息: "Cyclonedx-node-module是一个为Node.js项目生成CycloneDX软件物料清单(SBOM)的工具,它能够帮助开发者和安全专家创建一个包含项目所有依赖项的详细汇总。CycloneDX是一种轻量级的SBOM(软件物料...
如何在软件项目中生成物料清单(SBOM
weixin_61856963的博客
04-26 2527
生成文件内容量看, CycloneDX>SPDX>SWID。CycloneDX:4178行;277KB。SPDX:1389行;135KB。SWID:34行;2KB。SWID插件默认只生成软件包的基本信息,不生成依赖组件的详细信息。SPDX插件默认能够生成软件包和依赖组件的详细信息。此外能够记录源文件基本信息(hasFile)、许可证信息等。CycloneDX插件默认能够生成软件包和依赖组件的详细信息。
《软件供应商手册:SBOM生成和提供》解读
smellycat000的专栏
04-26 650
★★★软件供应商手册:SBOM生成和提供董国伟 奇安信科技集团股份有限公司摘要:本手册由美国国家电信和信息管理局(NTIA)格式化与工具工作组于2021年11月27日发布,旨在为软件供应商提供软件物料清单(SBOM)生成和交付方面的指导。手册以SBOM生成的四步骤流程为主线,重点说明了在软件构建(Build)前、构建中和构建后等各阶段构造SBOM时的特点或应注意事项,以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值