第1章 SBOM のダウンロード、変換、分析

次の手順では、RHTPA を使用して SBOM を検査する方法を説明します。具体的には、SBOM をダウンロードし、SBOM を互換性のある形式に変換して、RHTPA で SBOM を分析する方法を説明します。

注記

RHADS - SSC 1.6 では、サポートされている CI プロバイダーを使用してアプリケーションをビルドするときに、SBOM が RHTPA に自動的に公開されるため、この手順は必要ありません。

SBOM を手動で展開し、ローカルコピーを保持する場合は、次の手順に従ってください。

前提条件:

手順:

コンテナーレジストリーで、SBOM 検査の対象とするコンテナーイメージの完全なアドレスを確認します。アドレスの形式は、registry/namespace/image:tag です。たとえば、quay.io/app/app-image:ff59e21cc などです。
注記
SBOM イメージのアドレス (末尾が .sbom のもの) は使用しないでください。実際のアプリケーションイメージのアドレスを使用してください。
CLI で、cosign を使用して SBOM をダウンロードします。出力を、後で参照できるファイルにリダイレクトします。必ず新しいファイル名の末尾を .json にします。
```
cosign download sbom quay.io/redhat/rhtap-app:8d34c03188cf294a77339b2a733b1f6811263a369b309e6b170d9b489abc0334 > /tmp/sbom.json
```
```
cosign download sbom quay.io/redhat/rhtap-app:8d34c03188cf294a77339b2a733b1f6811263a369b309e6b170d9b489abc0334 > /tmp/sbom.json
```
Copy to Clipboard Toggle word wrap
(オプション) SBOM は、最終的にこの .json ファイルにリストされている名前で RHTPA UI に表示されます。デフォルトでは、Syft によって SBOM のファイルパスに基づいてその名前が作成されます。SBOM をわかりやすい名前で RHTPA UI に表示する場合は、ダウンロードした .json ファイルで名前を手動で変更する必要があります。具体的には、.metadata.component オブジェクト内の名前を置き換える必要があります。必要に応じて、ここで version フィールドを追加することもできます。
```
vim /tmp/sbom.json
"component": {
      "bom-ref": "fdef64df97f1d419",
      "type": "file",
      "name": "/var/lib/containers/storage/vfs/dir/3b3009adcd335d2b3902c5a7014d22b2beb6392b1958f1d9c7aabe24acab2deb" #Replace this with a meaningful name
    }
```
```
$ vim /tmp/sbom.json
"component": {
      "bom-ref": "fdef64df97f1d419",
      "type": "file",
      "name": "/var/lib/containers/storage/vfs/dir/3b3009adcd335d2b3902c5a7014d22b2beb6392b1958f1d9c7aabe24acab2deb" #Replace this with a meaningful name
    }
```
Copy to Clipboard Toggle word wrap
次のコマンドを実行して、Bombastic API URL を環境変数として保存します。
```
bombastic_api_url="https://$(oc -n rhtap-tpa get route --selector app.kubernetes.io/name=bombastic-api -o jsonpath='{.items[].spec.host}')"
```
```
$ bombastic_api_url="https://$(oc -n rhtap-tpa get route --selector app.kubernetes.io/name=bombastic-api -o jsonpath='{.items[].spec.host}')"
```
Copy to Clipboard Toggle word wrap
注記
このコマンドと次のコマンドでは、-n の後に、RHADS - SSC をインストールした namespace を必ず入力してください。この例では、rhtap という namespace を使用していると想定しています。

CLI で、次の値を持つ新しい token_issuer_url 環境変数を作成します。

token_issuer_url=https://$(oc -n rhtap-keycloak get route --selector app=keycloak -o  jsonpath='{.items[].spec.host}')/realms/chicken/protocol/openid-connect/token

$ token_issuer_url=https://$(oc -n rhtap-keycloak get route --selector app=keycloak -o  jsonpath='{.items[].spec.host}')/realms/chicken/protocol/openid-connect/token

Copy to Clipboard

Toggle word wrap

TPA__OIDC__WALKER_CLIENT_SECRET 環境変数を設定し、その値として TPA OIDC Walker クライアントシークレットを指定します。

TPA__OIDC__WALKER_CLIENT_SECRET=$(kubectl get -n rhtap secrets/rhtap-trustification-integration --template={{.data.oidc_client_secret}} | base64 -d)

$ TPA__OIDC__WALKER_CLIENT_SECRET=$(kubectl get -n rhtap secrets/rhtap-trustification-integration --template={{.data.oidc_client_secret}} | base64 -d)

Copy to Clipboard

Toggle word wrap

次のコマンドを実行して BOMbastic API のトークンを取得します。このトークンを使用すると、SBOM をアップロードできます。

tpa_token=$(curl \
    -d 'client_id=walker' \
    -d "client_secret=$TPA__OIDC__WALKER_CLIENT_SECRET" \
    -d 'grant_type=client_credentials' \
    "$token_issuer_url" \
| jq -r .access_token)

$ tpa_token=$(curl \
    -d 'client_id=walker' \
    -d "client_secret=$TPA__OIDC__WALKER_CLIENT_SECRET" \
    -d 'grant_type=client_credentials' \
    "$token_issuer_url" \
| jq -r .access_token)

Copy to Clipboard

Toggle word wrap

SBOM のアップロードを試行します。

curl \
    -H "authorization: Bearer $tpa_token" \
    -H "transfer-encoding: chunked" \
    -H "content-type: application/json" \
    --data @/tmp/sbom.json \
    "$bombastic_api_url/api/v2/sbom?id=my-sbom"

curl \
    -H "authorization: Bearer $tpa_token" \
    -H "transfer-encoding: chunked" \
    -H "content-type: application/json" \
    --data @/tmp/sbom.json \
    "$bombastic_api_url/api/v2/sbom?id=my-sbom"

Copy to Clipboard

Toggle word wrap

エラーメッセージ storage error: invalid storage content が表示された場合は、Syft を使用して SBOM を以前の CycloneDX 1.4 に変換します。異なる pURL を持つパッケージのマージに関する警告は、無視しても問題ありません。この警告は、Syft が元の SBOM の一部のデータを破棄する可能性があることを示していますが、そのデータは重要ではありません。
```
syft convert /tmp/sbom.json -o cyclonedx-json@1.4=/tmp/sbom-1-4.json
```
```
$ syft convert /tmp/sbom.json -o cyclonedx-json@1.4=/tmp/sbom-1-4.json
```
Copy to Clipboard Toggle word wrap

SBOM の再アップロードを試行します。

curl \
    -H "authorization: Bearer $tpa_token" \
    -H "transfer-encoding: chunked" \
    -H "content-type: application/json" \
    --data @/tmp/sbom-1-4.json \
    "$bombastic_api_url/api/v2/sbom?id=my-sbom"

$ curl \
    -H "authorization: Bearer $tpa_token" \
    -H "transfer-encoding: chunked" \
    -H "content-type: application/json" \
    --data @/tmp/sbom-1-4.json \
    "$bombastic_api_url/api/v2/sbom?id=my-sbom"

Copy to Clipboard

Toggle word wrap

OpenShift Console から、RHADS - SSC を実行しているクラスターにアクセスします。
rhtap プロジェクトで、Networking > Routes に移動します。spog-ui サービスと同じ行にリストされている URL を開きます。
Register ボタンを使用して新しいアカウントを作成し、RHTPA に対して認証します。
SBOM (直近にアップロードしたもの) を選択し、その SBOM に基づいて RHTPA が提供した、アプリケーションに関する分析情報を確認します。
1. Dependency Analytics Report タブに移動して、脆弱性と修復を表示します。

改訂日時: 2025-09-06

第1章 SBOM のダウンロード、変換、分析

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links