第 1 章 创建资料清单文件的软件清单
Red Hat Trusted Profile Analyzer 可以使用 JSON 文件格式分析 CycloneDX 和软件软件包数据交换(SPDX) SBOM 格式。许多开源工具可用于从容器镜像或您的应用程序创建软件 Bill of Materials (SBOM)清单文件。对于此过程,我们将使用 Syft 工具。
重要
目前,Trusted Profile Analyzer 只支持 CycloneDX 版本 1.3、1.4 和 1.5 以及 SPDX 版本 2.2 和 2.3。
先决条件
为您的工作站平台安装 Syft :
流程
使用容器镜像创建 SBOM。
CycloneDX 格式:
语法
syft IMAGE_PATH -o cyclonedx-json@1.5Example
$ syft registry:example.io/hello-world:latest -o cyclonedx-json@1.5
SPDX 格式:
语法
syft IMAGE_PATH -o spdx-json@2.3Example
$ syft registry:example.io/hello-world:latest -o spdx-json@2.3
注意Syft 支持许多类型的容器镜像源。请参阅 Syft GitHub 网站上的官方支持 源列表。
通过扫描本地文件系统来创建 SBOM。
CycloneDX 格式:
语法
syft dir: DIRECTORY_PATH -o cyclonedx-json@1.5 syft file: FILE_PATH -o cyclonedx-json@1.5
Example
$ syft dir:. -o cyclonedx-json@1.5 $ syft file:/example-binary -o cyclonedx-json@1.5
SPDX 格式:
语法
syft dir: DIRECTORY_PATH -o spdx-json@2.3 syft file: FILE_PATH -o spdx-json@2.3
Example
$ syft dir:. -o spdx-json@2.3 $ syft file:/example-binary -o spdx-json@2.3
其他资源
- 使用红帽受信任的配置文件分析器托管服务扫描 SBOM 清单文件。
- 国家电信和信息管理(NTIA) 如何生成 SBOM 的指南。
