Generación de la lista de materiales de software (SBOM) en formato cyclonedx
OWASP CycloneDX es un estándar ligero de la Lista de materiales de software (SBOM) diseñado para su uso en contextos de seguridad de aplicaciones y análisis de componentes de cadena de suministro. La interconexión de integración continua (CI)
genera la lista de materiales de software (BOM
) con la ayuda de Code Risk Analyzer. De forma predeterminada, este BOM
se genera en el formato standard
así como en el formato cyclonedx
.
Para obtener más información sobre la generación de BOM
, consulte Lista de materiales(BOM).
Antes de empezar
Esta característica se basa en la recopilación de pruebas de V2. Asegúrese de que los scripts personalizados ya recopilan pruebas v2 para poder utilizar la generación SBOM CycloneDX.
Interconexión de integración continua
Cuando se ejecuta la interconexión, BOM
se añade como un archivo adjunto a las pruebas de com.ibm.code_bom_check
en formato standard
y cyclonedx
.
La herramienta sbom-utility
valida la lista de materiales de software (SBOM) completando una serie de comprobaciones predeterminadas y personalizadas para ver si los metadatos contienen:
- Un componente en el nivel raíz del SBOM que contiene datos
- Una indicación de fecha y hora
- A
name
ybom-ref
para cada campo de componente
Para recopilar pruebas para la validación sbom, establezca sbom-validation-collect-evidence
en 1
.Las pruebas se recopilan como un archivo adjunto a com.ibm.code_bom_check
como tipo de pruebas y tipo de
herramienta como sbom-utility
.
Para obtener más información, consulte la documentación de la herramienta sbom-utility
.
Conducto de despliegue continuo
El conducto de despliegue continuo puede recopilar la conexión SBOM CycloneDX de cada activo que está desplegando la ejecución. La interconexión fusiona estos SBOM CycloneDX y carga el SBOM CycloneDX agregado en la solicitud de cambio como un adjunto.
Después de ejecutar la interconexión, la solicitud de cambio tiene un archivo adjunto denominado CycloneDX SBOM
que se puede inspeccionar en la interfaz de usuario de los proveedores de gestión de cambios.
Conducto de conformidad continua
Durante el resumen CC, el archivo adjunto SBOM se trata de la siguiente manera:
- Si se encuentra un archivo adjunto SBOM para el tipo de pruebas
com.ibm.code_bom_check
, el archivo adjunto se descarga y se utiliza para las pruebas CC paracom.ibm.code_bom_check
. La nueva regeneración del SBOM no ocurre. - Si no se encuentra un archivo adjunto SBOM para el tipo de pruebas
com.ibm.code_bom_check
, se ejecutaibmcloud cra bom-generate
para generar el BOM nuevo en ese punto en formatostandard
ycyclonedx
. EsteBOM
recién creado se utiliza para las pruebas CC paracom.ibm.code_bom_check
.
Para recopilar pruebas para la validación sbom, establezca sbom-validation-collect-evidence
en 1. Las pruebas se recopilarán como un archivo adjunto a com.ibm.code_bom_check
como tipo de pruebas y tipo de herramienta
como sbom-utility
.