IBM Cloud Docs
Software-Stückliste im cyclonedx-Format generieren

Software-Stückliste im cyclonedx-Format generieren

OWASP CycloneDX ist ein schlanker SBOM-Standard (Software Bill of Materials), der für die Verwendung in Anwendungssicherheitskontexten und in der Analyse von Lieferkettenkomponenten konzipiert ist. Die Pipeline für kontinuierliche Integration (Continuous Integration, CI) generiert die Software Bill of Materials (BOM) mithilfe von Code Risk Analyzer. Standardmäßig wird diese BOM im Format standard und cyclonedx generiert.

Weitere Informationen zur BOM-Generierung finden Sie unter Stückliste.

Vorbereitende Schritte

Diese Funktion basiert auf der Angabensammlung V2. Stellen Sie sicher, dass Ihre benutzerdefinierten Scripts bereits v2-Angaben erfassen, um die CycloneDX-SBOM-Generierung verwenden zu können.

Pipeline für kontinuierliche Integration (Continuous Integration)

Wenn die Pipeline ausgeführt wird, wird BOM als Anhang zu den com.ibm.code_bom_check-Angaben im Format standard und cyclonedx hinzugefügt.

Das Tool sbom-utility validiert die Software-Stückliste (SBOM), indem es eine Reihe von Standardprüfungen und benutzerdefinierten Prüfungen durchführt, um festzustellen, ob die Metadaten Folgendes enthalten:

  • Eine Komponente auf der Stammebene des SBOM, die Daten enthält.
  • Eine Zeitmarke
  • A name und bom-ref für jedes Komponentenfeld

Um Angaben für die sbom-Validierung zu erfassen, setzen Sie sbom-validation-collect-evidence auf 1.Die Angaben werden als Anhang zu com.ibm.code_bom_check als Angabentyp und als Tooltyp sbom-utility erfasst.

Weitere Informationen finden Sie in der Dokumentation zum sbom-utility-Tool.

Pipeline für kontinuierliche Bereitstellung

Die Continuous-Deployment-Pipeline kann den SBOM-Anhang CycloneDX jedes Assets erfassen, das von der Ausführung implementiert wird. Die Pipeline führt diese CycloneDX-SBOMs zusammen und lädt das aggregierte CycloneDX-SBOM als Anhang in die Änderungsanforderung hoch.

Nach der Ausführung der Pipeline hat die Änderungsanforderung einen Anhang mit dem Namen CycloneDX SBOM, der in der Benutzerschnittstelle des Change-Management-Providers überprüft werden kann.

Kontinuierliche Compliance-Pipeline

Während der CC-Zusammenfassung wird der SBOM-Anhang wie folgt behandelt:

  • Wenn ein SBOM-Anhang für den Angabentyp com.ibm.code_bom_check gefunden wird, wird der Anhang heruntergeladen und für die CC-Angaben für com.ibm.code_bom_check verwendet. Es findet keine neue SBOM-Neugenerierung statt.
  • Wenn für den Angabentyp com.ibm.code_bom_check kein SBOM-Anhang gefunden wird, wird ibmcloud cra bom-generate ausgeführt, um das neue BOM an diesem Punkt im standard-und cyclonedx-Format zu generieren. Diese neu erstellte BOM wird für die CC-Angaben für com.ibm.code_bom_check verwendet.

Um Angaben für die Sbom-Validierung zu erfassen, setzen Sie sbom-validation-collect-evidence auf 1. Die Angaben werden als Anhang zu com.ibm.code_bom_check als Angabentyp und Tooltyp sbom-utility erfasst.