IBM Cloud Docs
Generación de la lista de materiales de software (SBOM) en formato cyclonedx

Generación de la lista de materiales de software (SBOM) en formato cyclonedx

OWASP CycloneDX es un estándar ligero de la Lista de materiales de software (SBOM) diseñado para su uso en contextos de seguridad de aplicaciones y análisis de componentes de cadena de suministro. La interconexión de integración continua (CI) genera la lista de materiales de software (BOM) con la ayuda de Code Risk Analyzer. De forma predeterminada, este BOM se genera en el formato standard así como en el formato cyclonedx.

Para obtener más información sobre la generación de BOM, consulte Lista de materiales(BOM).

Antes de empezar

Esta característica se basa en la recopilación de pruebas de V2. Asegúrese de que los scripts personalizados ya recopilan pruebas v2 para poder utilizar la generación SBOM CycloneDX.

Interconexión de integración continua

Cuando se ejecuta la interconexión, BOM se añade como un archivo adjunto a las pruebas de com.ibm.code_bom_check en formato standard y cyclonedx.

La herramienta sbom-utility valida la lista de materiales de software (SBOM) completando una serie de comprobaciones predeterminadas y personalizadas para ver si los metadatos contienen:

  • Un componente en el nivel raíz del SBOM que contiene datos
  • Una indicación de fecha y hora
  • A name y bom-ref para cada campo de componente

Para recopilar pruebas para la validación sbom, establezca sbom-validation-collect-evidence en 1.Las pruebas se recopilan como un archivo adjunto a com.ibm.code_bom_check como tipo de pruebas y tipo de herramienta como sbom-utility.

Para obtener más información, consulte la documentación de la herramienta sbom-utility.

Conducto de despliegue continuo

El conducto de despliegue continuo puede recopilar la conexión SBOM CycloneDX de cada activo que está desplegando la ejecución. La interconexión fusiona estos SBOM CycloneDX y carga el SBOM CycloneDX agregado en la solicitud de cambio como un adjunto.

Después de ejecutar la interconexión, la solicitud de cambio tiene un archivo adjunto denominado CycloneDX SBOM que se puede inspeccionar en la interfaz de usuario de los proveedores de gestión de cambios.

Conducto de conformidad continua

Durante el resumen CC, el archivo adjunto SBOM se trata de la siguiente manera:

  • Si se encuentra un archivo adjunto SBOM para el tipo de pruebas com.ibm.code_bom_check, el archivo adjunto se descarga y se utiliza para las pruebas CC para com.ibm.code_bom_check. La nueva regeneración del SBOM no ocurre.
  • Si no se encuentra un archivo adjunto SBOM para el tipo de pruebas com.ibm.code_bom_check, se ejecuta ibmcloud cra bom-generate para generar el BOM nuevo en ese punto en formato standard y cyclonedx. Este BOM recién creado se utiliza para las pruebas CC para com.ibm.code_bom_check.

Para recopilar pruebas para la validación sbom, establezca sbom-validation-collect-evidence en 1. Las pruebas se recopilarán como un archivo adjunto a com.ibm.code_bom_check como tipo de pruebas y tipo de herramienta como sbom-utility.