第 3 章 创建资料清单文件的软件清单
Red Hat Trusted Profile Analyzer 可以使用 JSON 文件格式分析 CycloneDX 和软件软件包数据交换(SPDX) SBOM 格式。许多开源工具可用于从容器镜像或您的应用程序创建软件 Bill of Materials (SBOM)清单文件。对于此过程,我们将使用 Syft 工具。
重要
目前,Trusted Profile Analyzer 只支持 CycloneDX 版本 1.3 和 SPDX 版本 2.2。
先决条件
为您的工作站平台安装 Syft :
流程
使用容器镜像创建 SBOM。
CycloneDX 格式:
语法
syft IMAGE_PATH -o cyclonedx-json
Example
$ syft registry:example.io/hello-world:latest -o cyclonedx-json
SPDX 格式:
语法
syft IMAGE_PATH -o spdx-json
Example
$ syft registry:example.io/hello-world:latest -o spdx-json
注意Syft 支持许多类型的容器镜像源。请参阅 Syft 的 GitHub 站点上的官方支持的源列表。
通过扫描本地文件系统来创建 SBOM。
CycloneDX 格式:
语法
syft dir: DIRECTORY_PATH -o cyclonedx-json syft file: FILE_PATH -o cyclonedx-json
Example
$ syft dir:. -o cyclonedx-json $ syft file:/example-binary -o cyclonedx-json
SPDX 格式:
语法
syft dir: DIRECTORY_PATH -o spdx-json syft file: FILE_PATH -o spdx-json
示例
$ syft dir:. -o spdx-json $ syft file:/example-binary -o spdx-json
其他资源
- 使用红帽受信任的配置文件分析器托管服务扫描 SBOM 清单文件。
- 国家电信和信息管理(NTIA) 如何生成 SBOM 的指南。