导出存储库的软件物料清单

可以从依赖项关系图导出存储库的软件物料清单 (SBOM)。 SBOM 允许透明化open source使用情况,并帮助暴露供应链漏洞,降低供应链风险。

谁可以使用此功能?

GitHub 上的任何人

在本文中

可以使用行业标准 SPDX 格式将存储库的依赖项图的当前状态导出为软件清单(SBOM)。

SBOM 包含项目依赖项清单和相关信息,例如 版本、包标识符、许可证、传递路径和版权信息。 SBOM 不包含依赖方(即依赖你项目的其他项目)。

从 UI 中导出存储库的软件物料清单

  1. 在 GitHub 上,导航到存储库的主页面。1. 在存储库名称下,单击“ Insights”选项卡****。

    存储库的主页的屏幕截图。 在水平导航栏中,以橙色框出了标有图形图标和“见解”的选项卡。

  2. 在左侧边栏中,单击依赖项关系图

  3. 依赖项选项卡的右上角,单击导出 SBOM 以生成 SBOM 文件,以便从浏览器下载。

使用 REST API 导出存储库的软件物料清单

如果要使用 REST API 导出存储库的 SBOM,请参阅 适用于软件物料清单 (SBOM) 的 REST API 终结点

从 GitHub Actions 生成软件物料清单

以下操作将为存储库生成 SBOM,并将其附加为工作流项目 - 你可下载该项目并在其他应用程序中使用。 有关下载工作流工件的详细信息,请参阅 下载工作流程构件

Action详细信息

SPDX 依赖项提交操作 | 使用 Microsoft 的 SBOM 工具创建与 支持的生态系统 兼容的 SPDX 2.2 SBOM |

Anchore SBOM 操作 | 使用 Syft 创建与 SPDX 2.2 兼容的 SBOM,适用于支持的生态系统。 |

SBOM 依赖项提交操作| 将 CycloneDX SBOM 上传到 依赖项提交 API |