業界標準の SPDX 形式を使用して、リポジトリの依存関係グラフの現在の状態をソフトウェア部品表 (SBOM) としてエクスポートできます。
SBOMには、プロジェクトの依存関係のインベントリと関連情報が含まれます。 バージョン、パッケージ識別子、ライセンス、推移的パス、著作権情報 などです。 SBOM には、あなたのプロジェクトに依存している他のプロジェクトは含まれません。
UI からリポジトリのソフトウェア部品表をエクスポートする
-
GitHub で、リポジトリのメイン ページに移動します。
-
リポジトリ名の下にある [ Insights] をクリックします。
![リポジトリのメイン ページのスクリーンショット。 水平ナビゲーション バーの、グラフ アイコンと [Insights] というラベルが付いたタブが、オレンジ色の枠線で囲まれています。](/assets/cb-52175/images/help/repository/repo-nav-insights-tab.png)
-
左側のサイドバーで、 [Dependency graph] (依存関係グラフ) をクリックします。
-
[依存関係] タブの右上にある [SBOM のエクスポート] をクリックして、ブラウザーからダウンロードするための SBOM ファイルを生成します。
![リポジトリのメイン ページのスクリーンショット。 水平ナビゲーション バーの、グラフ アイコンと [Insights] というラベルが付いたタブが、オレンジ色の枠線で囲まれています。](/assets/cb-52175/mw-1440/images/help/repository/repo-nav-insights-tab.webp)
REST API を使用してリポジトリのソフトウェア部品表をエクスポートする
REST API を使ってリポジトリの SBOM をエクスポートする場合は、「AUTOTITLE」を参照してください。
GitHub Actions からソフトウェア部品表を生成する
次のアクションでは、リポジトリの SBOM が生成され、ワークフロー成果物としてアタッチされます。これをダウンロードして他のアプリケーションで使用できます。 ワークフローのアーティファクトのダウンロードの詳細については、「ワークフローの成果物をダウンロードする」を参照してください。
| アクション | 詳細 |
|---|
SPDX 依存関係の送信アクション | Microsoft の SBOM ツール を使用して、サポートされているエコシステムを使用して SPDX 2.2 互換 SBOM を作成します |
Anchore SBOM アクション | Syftを使用して、サポートされているエコシステムを持つ SPDX 2.2 互換 SBOM を作成します |
SBOM の依存関係送信アクション| 依存関係送信 API に CycloneDX SBOM をアップロードする |