SBOM清单可以用来管理软件项目中的组件资产,包括第三方开源组件及自研组件。当前较为常用的国际通用SBOM格式有SPDX和Cyclonedx两种。
二者结构不同,对应的结构也略有不同。SPDX是已经有一个ISO标准了,另一个目前还没有。体感SPDX比较关注许可信息,CDX场景更多。
这两种格式的生成转换有很多工具都支持,出于成本考量用了一个开源工具来做。
生成
SPDX
CDX
Saas版的话可以不用敲命令行
转换
SPDX转化为CDX
反向转改path和out参数
输出漏洞
由于漏洞信息是动态更新的,常见的做法是生成一个SBOM之后如果源码不再变动,之后就用这个SBOM为材料来定期检测漏洞情况