SBOM生成和转换

最新推荐文章于 2024-06-11 09:40:01 发布
最新推荐文章于 2024-06-11 09:40:01 发布
阅读量146 收藏
点赞数 2
文章标签: 开源软件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qqyopensca/article/details/136865340
版权

SBOM清单可以用来管理软件项目中的组件资产,包括第三方开源组件及自研组件。当前较为常用的国际通用SBOM格式有SPDX和Cyclonedx两种。

二者结构不同,对应的结构也略有不同。SPDX是已经有一个ISO标准了,另一个目前还没有。体感SPDX比较关注许可信息,CDX场景更多。

这两种格式的生成转换有很多工具都支持,出于成本考量用了一个开源工具来做。

生成

SPDX

CDX

Saas版的话可以不用敲命令行

转换

SPDX转化为CDX

反向转改path和out参数

输出漏洞

由于漏洞信息是动态更新的,常见的做法是生成一个SBOM之后如果源码不再变动,之后就用这个SBOM为材料来定期检测漏洞情况

企鹅(学习中)
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
cyclonedx-core-java:用于创建和验证BOM的CycloneDX SBOM模型和实用程序
04-09
CycloneDX核心模块提供了SBOM的模型表示以及用于帮助创建,验证和解析SBOM的实用程序。 CycloneDX是一种轻量级的软件物料清单(SBOM)规范,旨在用于应用程序安全性上下文和供应链组件分析。 Maven用法 ...
syft:用于从容器映像和文件系统生成软件物料清单的 CLI 工具和库
07-24
用于从容器映像和文件系统生成软件物料清单 (SBOM) 的 CLI 工具和 go 库。 与等扫描工具一起使用时,对于漏洞检测来说。 特征 编目容器镜像和文件系统以发现包和库。 支持来自各种生态系统的包和库(APK、DEB、...
「 网络安全常用术语解读 」SBOM主流格式SPDX详解
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
04-25 1602
SPDX格式是一种用于描述软件组件的规范,提供了一种标准化的方法来描述软件组件的元数据,包括其许可证、依赖项和其他属性。随着开源和共享软件开发环境的普及,SPDX格式得到了广泛的应用。通过SPDX格式,组织可以更好地了解和管理软件供应链,降低合规风险,提高软件质量,加强安全性。SPDX作为一个开放的标准格式,为软件行业的合作和创新提供了重要的基础。
微软开源 SBOM 生成工具:sbom-tool下载及使用详解
dahuamiao111的博客
03-01 927
SBOM
推荐开源项目:gh-sbom - 简易且高效的软件物料清单生成
最新发布
gitblog_00084的博客
06-11 447
推荐开源项目:gh-sbom - 简易且高效的软件物料清单生成器 项目地址:https://gitcode.com/advanced-security/gh-sbom 项目介绍 gh-sbom 是一个巧妙的命令行扩展工具,专为GitHub用户设计,能够方便地为你的仓库生成JSON格式的SBOM(Software Bill of Materials),支持两种标准:SPDX和CycloneDX。通过...
如何在软件项目中生成物料清单(SBOM
weixin_61856963的博客
04-26 1763
生成文件内容量看, CycloneDX>SPDX>SWID。CycloneDX:4178行;277KB。SPDX:1389行;135KB。SWID:34行;2KB。SWID插件默认只生成软件包的基本信息,不生成依赖组件的详细信息。SPDX插件默认能够生成软件包和依赖组件的详细信息。此外能够记录源文件基本信息(hasFile)、许可证信息等。CycloneDX插件默认能够生成软件包和依赖组件的详细信息。
如何使用微软的开源工具生成 SBOM
学海无涯苦作舟的博客
10-05 2831
SBOM (软件物料清单)通过列出您的代码所依赖的软件包和供应商来帮助您了解您的软件供应链。SBOM 正迅速获得发展势头,作为在现实世界供应链受到重大攻击后帮助提高安全性的一种方式。SBOM 的主要支持者之一是微软,该公司早在 2021 年 10 月就发布了针对他们这一代的方法。今年早些时候,该公司开源了其用于在 Windows、macOS 和 Linux 上生成 SBOM 的工具。在本文中,您将学习如何开始使用该项目来索引代码的依赖项。它生成SPDX 兼容的文档,列出项目中的文件、包和关系。
spdx-sbom-generator使用记录
phmatthaus的专栏
08-18 2135
spdx-sbom-generator使用记录
《软件供应商手册:SBOM生成和提供》解读
smellycat000的专栏
04-26 456
★★★软件供应商手册:SBOM生成和提供董国伟 奇安信科技集团股份有限公司摘要:本手册由美国国家电信和信息管理局(NTIA)格式化与工具工作组于2021年11月27日发布,旨在为软件供应商提供软件物料清单(SBOM)生成和交付方面的指导。手册以SBOM生成的四步骤流程为主线,重点说明了在软件构建(Build)前、构建中和构建后等各阶段构造SBOM时的特点或应注意事项,以...
京东为openKylin新增SBOM利器,保障软件供应链安全和可追溯性!
京东科技开发者
03-29 357
SBOM-TOOL能够分析源代码、二进制制品,为项目提供完整的依赖信息,确保生成的物料清单尽可能详尽,支持多种语言和多种包管理器的依赖采集,可以准确获取工程构建的依赖组件信息。SBOM-TOOL是一款基于Go语言实现、无其他特殊依赖的开源项目,专门用于生成软件项目的物料清单(SBOM),并具备易扩展、易使用的特性。SBOM-TOOL支持采集工程构建依赖环境信息,包括操作系统、内核、编译器、构建工具等,为项目提供全面的构建环境描述信息。通过一条命令,您就可以生成完整而准确的SBOM文档。
sig-security-sbom:SIG安全-软件物料清单
01-30
2. **生成SBOM**:将依赖项列表转换为标准格式(如SPDX、 CycloneDX或OWASP Dependency-Check)的SBOM文件。 3. **集成到CI/CD**:将SBOM生成步骤加入到CI/CD流水线,每次代码变更后自动更新。 4. **验证SBOM**:...
如何实现从EBOM到MBOM的有效转换?.doc
03-25
研究Windchill系统产品结构管理功能,提出基于Windchill和Oracle的BOM转换方案,进行对比,做出合适的选择。EBOM到MBOM的重构也从手工编辑EXCEL表格完成形式到利用Windchill系统工具,从EBOM结构树直接重构MBOM结构...
保障软件供应链安全《SBOM推荐实践指南》2023年11月发布译文
12-18
2. **自动化SBOM生成**:利用工具自动收集和更新软件组件信息,减少人为错误。 3. **持续监控**:定期审查SBOM以识别潜在的安全风险和许可证合规性问题。 4. **协作与通信**:与供应商合作,确保他们提供准确的SBOM...
tern:Tern 是一个软件组合分析工具和 Python 库,可为容器镜像和 Dockerfile 生成软件材料清单。 Tern 生成SBoM 将以各种格式(包括人类可读的、JSON、HTML、SPDX 等)为您提供容器内部内容的逐层视图
08-03
为 Docker 镜像生成 SBoM 报告 从 Dockerfile 生成 SBoM 报告 生成锁定的 Dockerfile 报告格式 了解报告 人类可读格式 JSON 格式 HTML 格式 YAML 格式 SPDX 标签值格式 SPDX JSON 格式 扩展 扫码 cve-bin-工具 运行...
cyclonedx-gomod:从Go模块创建CycloneDX软件物料清单(SBOM
04-02
cyclonedx-gomod从Go模块创建CycloneDX软件物料清单(SBOM) 安装 预构建的二进制文件在页面上可用。 从来源 go install github.com/CycloneDX/cyclonedx-gomod@latest 从源代码构建需要Go 1.16或更高版本。 兼容性...
KubeClarity 是一种用于检测和管理软件物料清单 (SBOM) 和包含漏洞的工具_go_代码_下载
06-15
生成 SBOM 的内容分析 扫描 SBOM 以查找漏洞 创建可插拔基础架构以: 并行运行多个内容分析器 并行运行多个漏洞扫描程序 使用 KubeClarity CLI 在不同 CI 阶段之间扫描和合并结果 运行时 K8s 扫描以检测部署后发现的...
重构计算机:摇树以实现最小可行的SBOM
02-28
Python因其简洁明了的语法和丰富的库支持,常被用于自动化任务、数据处理和构建工具,因此在这个场景下,可能是编写脚本或工具来自动收集和生成SBOM。 在压缩包子文件的文件名称列表中,“refactored-computing-...
MDK编译生成 sbom
07-11
您好!要在MDK中生成软件构件清单(SBOM),...同时,确保您的项目中使用的所有软件构件都已正确配置和添加到MDK中,以便在生成SBOM时能够包含所有相关信息。 希望这能回答您的问题!如果您还有其他问题,请随时提问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值