第1章 software bill of materials マニフェストファイルの作成
Red Hat Trusted Profile Analyzer は、JSON ファイル形式を使用して CycloneDX および Software Package Data Exchange (SPDX) SBOM 形式の両方を分析できます。コンテナーイメージから software bill of materials (SBOM) マニフェストファイルを作成したり、アプリケーションに使用したりするために、多くのオープンソースツールを利用できます。この手順では、Syft ツールを使用します。
現在、Trusted Profile Analyzer は、CycloneDX バージョン 1.3、1.4、1.5 と、SPDX バージョン 2.2、2.3 のみをサポートしています。
前提条件
ワークステーションプラットフォームに Syft をインストールしている。
手順
コンテナーイメージを使用して SBOM を作成するには、以下を行います。
CycloneDX 形式:
構文
syft IMAGE_PATH -o cyclonedx-json@1.5例
$ syft registry:example.io/hello-world:latest -o cyclonedx-json@1.5
SPDX 形式:
構文
syft IMAGE_PATH -o spdx-json@2.3例
$ syft registry:example.io/hello-world:latest -o spdx-json@2.3
注記Syft は多くの種類のコンテナーイメージソースをサポートしています。公式にサポートされているソースリストは、Syft の GitHub サイト を参照してください。
ローカルファイルシステムをスキャンして SBOM を作成します。
CycloneDX 形式:
構文
syft dir: DIRECTORY_PATH -o cyclonedx-json@1.5 syft file: FILE_PATH -o cyclonedx-json@1.5
例
$ syft dir:. -o cyclonedx-json@1.5 $ syft file:/example-binary -o cyclonedx-json@1.5
SPDX 形式:
構文
syft dir: DIRECTORY_PATH -o spdx-json@2.3 syft file: FILE_PATH -o spdx-json@2.3
例
$ syft dir:. -o spdx-json@2.3 $ syft file:/example-binary -o spdx-json@2.3
関連情報
- Red Hat Trusted Profile Analyzer マネージドサービスを使用して SBOM マニフェストファイルをスキャン。
- 米国商務省国家電気通信情報庁 (NTIA) How-to Guide on SBOM generation。
