写点什么

GitHub 增加 SBOM 导出功能,使其更易于符合安全性需求

  • 2023-05-01
    北京
  • 本文字数:892 字

    阅读完需:约 3 分钟

GitHub增加SBOM导出功能,使其更易于符合安全性需求

GitHub宣布了一项新的 SBOM 导出特性,旨在作为安全合规工作流和工具的一部分。GitHub 声称,这项新特性能够让我们轻松导出符合NTIA标准的 SBOM。


用户可以通过一些不同的方式导出 SBOM,可以手动进行,也可以使用自动化的进程。要手动生成 SBOM,可以访问仓库的依赖关系图,然后点击新的 Export SBOM 按钮。这样会按照 SPDX 格式创建一个机器可读的 SBOM。


SPDX是软件包数据交换(Software Package Data Exchange)的缩写,是一种专门用来描述软件物料清单(bill of materials)的开放格式,包括依赖关系、许可证、版权和安全引用。有许多工具(包括商业的开源的)可以用来消费 SPDX 文件,以验证、分析或将其转换为其他格式。


除了使用 GitHub Web UI,还可以使用GitHub CLI的扩展GitHub Action来导出 SBOM。


GitHub CLI 扩展可以通过运行gh ext install advanced-security/gh-sbom来安装。然后,通过gh sbom -l命令可以按照 SPDX 格式输出 SBOM,而gh sbom -l -c命令则会使用 CycloneDX 格式。


作为 GitHub CLI 的替代方案,我们还可以在构建时使用 GitHub Action 来输出 SBOM。GitHub 提供了自己的GitHub Action,以便于从依赖关系图中导出 SBOM。如果愿意的话,还可以使用微软的sbom-tool,或者基于SyftAnchore SBOM Action


该公司说,未来还可以通过特定的 REST API 导出 SBOM。


GitHub 提供的另一种可能性是将现有的 SBOM 上传到一个仓库,以生成依赖关系图。这对于那些不愿意公开在软件中使用的所有依赖关系的组织来说是很有用的。生成了依赖关系图之后,就有可能收到 Dependabot 对仓库及其依赖关系发现的漏洞发出的告警。


很重要的一点需要注意,SBOM 虽然是许多行业和美国政府的要求,但它只是用来保护软件供应链的众多工具之一。它本身并不能解决依赖关系可能违规的问题,但它可以帮助你更好地衡量所选的实现方案所带来的安全风险,并且能够帮助你理解通过为系统引入给定的依赖都信任了哪些人。


原文链接:

GitHub Adds SBOM Export to Make it Easier to Comply with Security Requirements


相关阅读:

仅仅发布 SBOM 是不够的,质量和可用性因项目而异

Linux 基金会《软件材料清单(SBOM) 与网络安全准备度》报告深度解读 |InfoQ《极客有约》


2023-05-01 08:003772

评论

发布
暂无评论
发现更多内容

模块四作业

Geek_1d37ea

架构训练营

Sechunter移动应用隐私合规检测详解

华为云开发者联盟

移动应用 目标检测 隐私 Sechunter 隐私合规

填坑总结:python内存泄漏排查小技巧

华为云开发者联盟

Python 内存 内存泄漏 回收 全局变量

“愚公移山”的方法解atoi,自以为巧妙!

老表

Python LeetCode 11月日更 算法与数据结构

压缩比达到7:1,TDengine助力校园智慧用电系统降本增效

TDengine

tdengine 时序数据库

软件开发除了23种设计模式,还有7个开发原则需要了解

华为云开发者联盟

设计模式 软件开发 开发 对象 SOLID

和 VMware、深信服、天翼云、招商云专家一起聊聊云原生边缘计算

阿里巴巴云原生

阿里云 容器 云原生 KubeMeet 线下活动

售后支持领域的服务指标

好奇分析

方法论 技术管理 指标体系 数据指标 客户服务

又添权威认定,旺链科技通过可信区块链专项认证!

旺链科技

区块链 产业区块链 技术测评 数字化经济

HarmonyOS内核技术大揭秘|HDC2021技术分论坛

HarmonyOS开发者

HarmonyOS

0.99M,150FPS,移动端超轻量目标检测算法PP-PicoDet来了!

百度大脑

人工智能 百度

「Oracle」Oracle 数据库安装

恒生LIGHT云社区

数据库 oracle

关于HTTPS认证,这里解决你所有疑惑

华为云开发者联盟

https 证书 数据加密 认证 签发证书

搞定大厂算法面试之leetcode精讲4.贪心

全栈潇晨

LeetCode 算法面试

应用不停机发布的思考与初识

陈俊

高可用 技术架构 不停机发布

DevEco Testing,新增分布式测试功能|HDC2021技术分论坛

HarmonyOS开发者

HarmonyOS

web技术分享| LRU 缓存淘汰算法

anyRTC开发者

缓存 音视频 WebRTC LRU web技术分享

吐司盒子?芝士码?HarmonyOS创新音视频测试技术来啦|HDC2021技术分论坛

HarmonyOS开发者

HarmonyOS

openGauss开源自动化测试框架Yat,增强社区测试能力

openGauss

稳若磐石的焱融 SaaS 服务平台背后,是数据生态的崛起

焱融科技

云计算 分布式 高性能 公有云 文件存储

Kubernetes 已经成为云原生时代的安卓,这就够了吗?

阿里巴巴云原生

阿里云 Kubernetes 云原生 学习资料 应用管理平台

OpenHarmony驱动框架解读和开发实践|HDC2021 技术分论坛

HarmonyOS开发者

HarmonyOS

云原生时代:看 Apache APISIX 如何玩转可观测性

API7.ai 技术团队

云原生 可观测性 Skywalking API网关 Apache APISIX

筹备两年,60万字诚意续作《腾讯游戏开发精粹Ⅱ》正式发布

博文视点Broadview

Chrome 插件特性及实战场景案例分析

vivo互联网技术

大前端 插件设计 chrome扩展

数仓如何限制临时数据文件下盘量

华为云开发者联盟

sql 线程 GaussDB(DWS) 临时文件 落盘

奖金翻倍!Flink Forward Asia Hackathon 最新参赛指南请查收

Apache Flink

大数据 flink 编程 后端 hackathon

模块四学习总结

Geek_1d37ea

架构训练营

Meetup 报名|开源分布式数据库探索和应用

OceanBase 数据库

数据库 分布式 活动 技术交流 oceanbase

GitHub增加SBOM导出功能,使其更易于符合安全性需求_安全_Sergio De Simone_InfoQ精选文章