Software-Stückliste im cyclonedx
-Format generieren
OWASP CycloneDX ist ein schlanker SBOM-Standard (Software Bill of Materials), der für die Verwendung in Anwendungssicherheitskontexten und in der Analyse von Lieferkettenkomponenten konzipiert ist. Die Pipeline für kontinuierliche Integration
(Continuous Integration, CI) generiert die Software Bill of Materials (BOM
) mithilfe von Code Risk Analyzer. Standardmäßig wird diese BOM
im Format standard
und cyclonedx
generiert.
Weitere Informationen zur BOM
-Generierung finden Sie unter Stückliste.
Vorbereitende Schritte
Diese Funktion basiert auf der Angabensammlung V2. Stellen Sie sicher, dass Ihre benutzerdefinierten Scripts bereits v2-Angaben erfassen, um die CycloneDX-SBOM-Generierung verwenden zu können.
Pipeline für kontinuierliche Integration (Continuous Integration)
Wenn die Pipeline ausgeführt wird, wird BOM
als Anhang zu den com.ibm.code_bom_check
-Angaben im Format standard
und cyclonedx
hinzugefügt.
Das Tool sbom-utility
validiert die Software-Stückliste (SBOM), indem es eine Reihe von Standardprüfungen und benutzerdefinierten Prüfungen durchführt, um festzustellen, ob die Metadaten Folgendes enthalten:
- Eine Komponente auf der Stammebene des SBOM, die Daten enthält.
- Eine Zeitmarke
- A
name
undbom-ref
für jedes Komponentenfeld
Um Angaben für die sbom-Validierung zu erfassen, setzen Sie sbom-validation-collect-evidence
auf 1
.Die Angaben werden als Anhang zu com.ibm.code_bom_check
als Angabentyp und als Tooltyp sbom-utility
erfasst.
Weitere Informationen finden Sie in der Dokumentation zum sbom-utility
-Tool.
Pipeline für kontinuierliche Bereitstellung
Die Continuous-Deployment-Pipeline kann den SBOM-Anhang CycloneDX jedes Assets erfassen, das von der Ausführung implementiert wird. Die Pipeline führt diese CycloneDX-SBOMs zusammen und lädt das aggregierte CycloneDX-SBOM als Anhang in die Änderungsanforderung hoch.
Nach der Ausführung der Pipeline hat die Änderungsanforderung einen Anhang mit dem Namen CycloneDX SBOM
, der in der Benutzerschnittstelle des Change-Management-Providers überprüft werden kann.
Kontinuierliche Compliance-Pipeline
Während der CC-Zusammenfassung wird der SBOM-Anhang wie folgt behandelt:
- Wenn ein SBOM-Anhang für den Angabentyp
com.ibm.code_bom_check
gefunden wird, wird der Anhang heruntergeladen und für die CC-Angaben fürcom.ibm.code_bom_check
verwendet. Es findet keine neue SBOM-Neugenerierung statt. - Wenn für den Angabentyp
com.ibm.code_bom_check
kein SBOM-Anhang gefunden wird, wirdibmcloud cra bom-generate
ausgeführt, um das neue BOM an diesem Punkt imstandard
-undcyclonedx
-Format zu generieren. Diese neu erstellteBOM
wird für die CC-Angaben fürcom.ibm.code_bom_check
verwendet.
Um Angaben für die Sbom-Validierung zu erfassen, setzen Sie sbom-validation-collect-evidence
auf 1. Die Angaben werden als Anhang zu com.ibm.code_bom_check
als Angabentyp und Tooltyp sbom-utility
erfasst.