SBOM生成之CycloneDX

已于 2024-07-02 16:46:29 修改
阅读量616 收藏 6
点赞数 10
分类专栏: 杂项 文章标签: php node sbom cyclonedx
于 2024-05-29 10:01:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/made4971/article/details/139272537
版权

SBOM是一份信息详尽、机器可读的形式化清单,其中囊括了软件所有组件的详尽信息及它们之间的层级关系。

  • 主流SBOM格式标准分别是SPDX、CycloneDX和SWID
  • CycloneDX格式:是一种轻量级的标准,专为应用安全和供应链组件分析而设计,专注于提供快速、可靠的软件组件信息,而不是提供信息详尽的元数据。这使得CycloneDX在处理大型、复杂的软件项目时具有较高的性能

安装CycloneDX

PHP项目

composer global require --dev cyclonedx/cyclonedx-php-composer

# 若报错In PluginManager.php line 752:                                          
#  cyclonedx/cyclonedx-php-composer (installed globally) contains a Composer p  
#  lugin which is blocked by your allow-plugins config. You may add it to the   
#  list if you consider it safe.
# 运行以下命令解决
# composer global config --no-plugins allow-plugins.cyclonedx/cyclonedx-php-composer true

# 获取帮助
composer CycloneDX:make-sbom --help

# 生成sbom文件
composer CycloneDX:make-sbom --output-file=/workspace/projectname/reports/sbom.xml -d /workspace/projectname/
# --output-file sbom文件生成地址
# -d 指定项目目录,也就是composer.json所在目录

Node项目

# 安装
# npm方式
npm install -g @cyclonedx/cdxgen

# 获取帮助
cdxgen --help

# 生成sbom
cdxgen -r -o /workspace/projectname/reports/sbom.json

go项目

# 安装
go install github.com/CycloneDX/cyclonedx-gomod/cmd/cyclonedx-gomod@latest
#将会在gopath/bin/ 目录下生成cyclonedx-gomod可执行文件
# 生成sbom
cyclonedx-gomod app --output ./xxx.xml

cyclonedx-gomod参数介绍
参数一
app生成仅包含目标应用实际依赖的 SBOM,特别适用于跟踪最终产品的具体组成
mod提供了一个全局视角,包括了所有包所需的模块,适合用于维护和监控整个模块的依赖情况。
bin支持从二进制文件反向生成 SBOM,对于验证已有二进制发布物的成分十分有用
参数二
-output将结果输出到文件,而不是打印到控制台,默认为xml格式,
可以使用参数-json=true来输出json格式的文件

其他语言

cyclonedx全部语言库https://github.com/orgs/CycloneDX/repositories?type=all

sujrex
关注
专栏目录
【项目实战】SBOM ,客户让我提供Sbom软件清单?
本本本添哥
06-08 654
当前 SBOM 有三种最为主流的格式,他们分别为: SPDX、 SWID以及 CycloneDX
构建开源供应链安全的软件物料清单(SBOM)
qzt961003的博客
07-08 1635
今天,开发人员频繁的在开源软件库的基础上构建web 应用程序。然而,尽管这些库构成了软件物料清单(SBOM)组件库,但并非所有开发人员和业务涉及者都理解第三方库对开源供应链安全的重大影响。考虑到这一点,我们有必要对此进行详细的探讨。...
推荐开源项目:CycloneDX CLI
gitblog_00033的博客
05-29 327
推荐开源项目:CycloneDX CLI cyclonedx-cliCycloneDX CLI tool for SBOM analysis, merging, diffs and format conversions.项目地址:https://gitcode.com/gh_mirrors/cy/cyclonedx-cli 项目介绍 CycloneDX CLI 是一个强大的命令行工具,用于处理软...
cyclonedx-maven-plugin:从Maven项目创建CycloneDX软件物料清单(SBOM
02-03
CycloneDX Maven插件 CycloneDX Maven插件创建项目的所有直接和传递依赖项的集合,并创建有效的CycloneDX SBOMCycloneDX是一种轻量级的软件物料清单(SBOM)规范,旨在用于应用程序安全上下文和供应链组件分析。 Maven用法 <!-- uses default configuration --> < plugins> < plugin> < groupId>org.cyclonedx</ groupId> < artifactId>cyclonedx-maven-plugin</ artifactId> < version>2.2.0</ version> </ plugin> </ plugins> 默认值 < plugins> < plugin> < groupId>org.cyclonedx</ groupId> < artifactId>cyclonedx-maven-plugin</ artif
CycloneDX Maven 插件使用教程
gitblog_00622的博客
08-13 413
CycloneDX Maven 插件使用教程 cyclonedx-maven-pluginCreates CycloneDX Software Bill of Materials (SBOM) from Maven projects项目地址:https://gitcode.com/gh_mirrors/cy/cyclonedx-maven-plugin 1. 项目的目录结构及介绍 Cyclone...
cyclonedx-gradle-plugin:从Gradle项目创建CycloneDX软件物料清单(SBOM
02-04
CycloneDX Gradle插件 CycloneDX Gradle插件创建一个项目的所有直接和传递依赖项的集合,并从结果中创建有效的CycloneDX物料清单文档。 CycloneDX是一种轻量级的BOM规范,易于创建,易于阅读且易于解析。 用法 执行: gradle cyclonedxBom 输出CycloneDX生成信息: gradle cyclonedxBom -info 排除物料清单序列号: gradle cyclonedxBom -Pcyclonedx.includeBomSerialNumber=false build.gradle (节选) plugins {
「 网络安全常用术语解读 」SBOM主流格式CycloneDX详解
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
05-03 2291
CycloneDX是软件供应链的现代标准。CycloneDX物料清单(BOM)可以表示软件、硬件、服务和其他类型资产的全栈库存。该规范由OWASP基金会发起并领导,由Ecma International标准化,并得到全球信息安全界的支持,如今CycloneDX已经是OWASP旗舰项目。
cyclonedx-core-java:用于创建和验证BOM的CycloneDX SBOM模型和实用程序
04-09
CycloneDX Core(Java) CycloneDX核心模块提供了SBOM的模型表示以及用于帮助创建,验证和解析SBOM的实用程序。 CycloneDX是一种轻量级的软件物料清单(SBOM)规范,旨在用于应用程序安全性上下文和供应链组件分析。 Maven用法 < dependency> < groupId>org.cyclonedx</ groupId> < artifactId>cyclonedx-core-java</ artifactId> < version>4.1.1</ version> </ dependency> CycloneDX模式支持 下表提供有关此节点模块的版本,支持的CycloneDX模式版本以及输出格式选项的信息。 使用该库的最新可能版本,该版本与目标系统支持的CycloneDX版本兼容。 版本 模式版本 格式
cyclonedx-gomod:从Go模块创建CycloneDX软件物料清单(SBOM
04-02
环己酮-戈莫德 cyclonedx-gomod从Go模块创建CycloneDX软件物料清单(SBOM) 安装 预构建的二进制文件在页面上可用。 从来源 go install github.com/CycloneDX/cyclonedx-gomod@latest 从源代码构建需要Go 1.16或更高版本。 兼容性 cyclonedx-gomod将为的最新版本的CycloneDX规范生成BOM。 您可以使用在多种BOM格式或规范版本之间进行转换。 用法 Usage of cyclonedx-gomod: -json Output in JSON format -module string Path to Go module (default ".") -noserial Omit serial number -novprefix
cyclonedx-node-module:从Node.js项目创建CycloneDX软件物料清单(SBOM
04-29
用于Node.js的CycloneDX模块创建一个有效的CycloneDX软件物料清单(SBOM),其中包含所有项目依赖项的汇总。 CycloneDX是一种轻量级的SBOM规范,易于创建,人和机器可读且易于解析。 要求 Node.js v8.0.0或更高版本 ...
基于cyclonedx-conan和conan软件生成sbom
LCY133的博客
07-20 557
在执行 conan install . 时出现错误:ERROR: bom2/0.1: ‘settings.compiler.cppstd’ value not defined,此时需要改动文件conanfile.py。执行:cyclonedx-conan generate >sbom3.json。新建文件夹 generate,并且将新生成文件移动到该文件夹。改的是根目录下的conanfile.py 文件。
cyclonedx-web-tool:用于处理 CycloneDX BOM 的基于 Web 的工具
08-04
CycloneDX 网络工具 用于处理 CycloneDX BOM 的基于 Web 的工具。 支持的功能: 在不同版本和格式之间转换 验证 将多个 BOM 合并为一个 BOM BOM 数据隐私 Web 工具构建为“静态站点”,使用 WebAssembly 进行 BOM 处理。 所有处理都在您的浏览器客户端完成。 提交的 BOM 数据不会传输到其他地方。 自托管 Web 工具构建为“静态站点”。 任何标准的 Web 服务器都应该可以工作。 支持的浏览器 以下浏览器的当前版本支持 Web 工具: Apple Safari(包括在 iOS 上) 谷歌浏览器(包括在 Android 上) 微软边缘 火狐浏览器 执照 根据 Apache 2.0 许可条款授予修改和重新分发的权限。 有关完整许可证,请参阅文件。 贡献 欢迎拉取请求。 但请先阅读。 要在本地构建和测试解决方案,您应该安装
Python库 | cyclonedx_python_lib-0.11.0-py3-none-any.whl
03-28
资源分类:Python库 所属语言:Python 资源全名:cyclonedx_python_lib-0.11.0-py3-none-any.whl 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
Python库 | cyclonedx_bom-1.5.0-py3-none-any.whl
03-17
python库,解压后可用。 资源全名:cyclonedx_bom-1.5.0-py3-none-any.whl
推荐使用CycloneDX Python SBOM生成工具
最新发布
gitblog_00263的博客
08-16 777
推荐使用CycloneDX Python SBOM生成工具 cyclonedx-pythonCreates CycloneDX Software Bill of Materials (SBOM) from Python projects and environments.项目地址:https://gitcode.com/gh_mirrors/cy/cyclonedx-python 在当今的软件开...
CycloneDX Python 项目教程
gitblog_01013的博客
08-16 729
CycloneDX Python 项目教程 cyclonedx-pythonCreates CycloneDX Software Bill of Materials (SBOM) from Python projects and environments.项目地址:https://gitcode.com/gh_mirrors/cy/cyclonedx-python 项目介绍 CycloneDX ...
合并cyclonedx格式的bom文件
LCY133的博客
07-11 601
Windows下载“cyclonedx-win-x64.exe”linux 下载“cyclonedx-linux-x64”
python环境下的sbom管理工具 cyclonedx-bom
LCY133的博客
07-11 744
这里指定了requirements.txt和格式为json,生成file.json为bom。介绍了多种工具,适用于各种语言的,此为python支持的版本,
android生成sbom.xml
07-13
要在 Android 项目中生成 SBOM (Software Bill of Materials) XML,你可以使用一些工具和技术来实现。下面是一种常见的方法: 1. 使用构建工具:在 Android 项目中,你可以使用构建工具 Gradle 来生成 SBOM XML。Gradle 是 Android 开发中常用的构建工具,它支持插件和扩展来集成 SBOM 生成功能。 2. 集成依赖分析插件:为了生成 SBOM,你需要将一个依赖分析插件集成到你的 Gradle 配置中。一个常用的插件是 "dependency-check-gradle",它可以分析项目的依赖关系并生成相应的 SBOM。 在你的项目根目录下的 `build.gradle` 文件中,添加以下内容: ```groovy buildscript { repositories { mavenCentral() } dependencies { classpath 'org.owasp:dependency-check-gradle:6.1.6' } } apply plugin: 'org.owasp.dependencycheck' ``` 3. 配置插件和生成任务:在你的模块级 `build.gradle` 文件中,配置插件和生成任务。添加以下内容: ```groovy dependencyCheck { format = "XML" outputDirectory = file("$buildDir/reports/dependency-check") } tasks.named("check") { finalizedBy("dependencyCheckAnalyze") } ``` 4. 运行构建任务:在终端或命令行中,使用 Gradle 命令运行构建任务。执行以下命令: ``` ./gradlew clean check ``` 这将触发构建任务和 SBOM 生成任务。生成SBOM XML 文件将位于 `app/build/reports/dependency-check/dependency-check-report.xml`。 通过以上步骤,你就可以在 Android 项目中生成 SBOM XML 文件。这个文件将包含你的项目的依赖关系和相关信息,有助于跟踪和管理组件的安全性。请注意,具体的步骤可能因你的项目结构和配置而有所不同,可以根据需要进行调整。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值