À propos des cookies sur ce site Pour fonctionner correctement, nos sites Internet nécessitent certains cookies (requis). En outre, d'autres cookies peuvent être utilisés avec votre consentement pour analyser l'utilisation d'un site, améliorer l'expérience des utilisateurs et à des fins publicitaires. Pour plus informations, passez en revue vos options de préférences en. En visitant notre site Web, vous acceptez que nous traitions les informations comme décrit dans ladéclaration de confidentialité d’IBM. Pour faciliter la navigation, vos préférences en matière de cookie seront partagées dans les domaines Web d'IBM énumérés ici.
Génération de la nomenclature logicielle (SBOM) au format cyclonedx
OWASP CycloneDX est une norme SBOM (Software Bill of Materials) légère conçue pour être utilisée dans les contextes de sécurité des applications et l'analyse des composants de la chaîne d'approvisionnement. Le pipeline d'intégration continue (CI)
génère la nomenclature des logiciels (BOM) à l'aide de Code Risk Analyzer. Par défaut, ce BOM est généré au format standard ainsi qu'au format cyclonedx.
Pour en savoir plus sur la génération BOM, voir Nomenclature.
Avant de commencer
Cette fonction est basée sur la collecte d'informations collectées V2. Assurez-vous que vos scripts personnalisés collectent déjà des informations collectées v2 pour pouvoir utiliser la génération SBOM CycloneDX.
Pipeline d'intégration continue
Lorsque le pipeline est exécuté, BOM est ajouté en tant que pièce jointe aux informations collectées com.ibm.code_bom_check au format standard et cyclonedx.
L'outil sbom-utility valide la nomenclature logicielle (SBOM) en effectuant une série de vérifications par défaut et personnalisées pour voir si les métadonnées contiennent:
- Un composant au niveau racine du SBOM qui contient des données
- Un horodatage
- A
nameetbom-refpour chaque zone de composant
Afin de collecter des informations collectées pour la validation sbom, définissez sbom-validation-collect-evidence sur 1.Les informations collectées sont collectées en tant que pièce jointe à com.ibm.code_bom_check en tant que type d'informations collectées et type d'outil en tant que sbom-utility.
Pour plus d'informations, voir la documentation de l'outil sbom-utility.
Pipeline de déploiement continu
Le pipeline de déploiement continu peut collecter la pièce jointe SBOM CycloneDX de chaque actif déployé par l'exécution. Le pipeline fusionne ces SBOMs CycloneDX et télécharge le SBOM CycloneDX agrégé dans la demande de changement en tant que pièce jointe.
Une fois le pipeline exécuté, la demande de changement comporte une pièce jointe nommée CycloneDX SBOM qui peut être inspectée dans l'interface utilisateur des fournisseurs de gestion des changements.
Pipeline de conformité continue
Lors de la récapitulation CC, la pièce jointe SBOM est traitée comme suit:
- Si une pièce jointe SBOM est trouvée pour le type d'informations collectées
com.ibm.code_bom_check, la pièce jointe est téléchargée et elle est utilisée pour les informations collectées CC pourcom.ibm.code_bom_check. La régénération de la nouvelle SBOM n'a pas lieu. - Si aucune pièce jointe SBOM n'est trouvée pour le type d'informations collectées
com.ibm.code_bom_check,ibmcloud cra bom-generateest exécuté pour générer le nouveau BOM à ce stade au formatstandardetcyclonedx. CeBOMnouvellement créé est utilisé pour les informations collectées CC pourcom.ibm.code_bom_check.
Afin de collecter des informations collectées pour la validation sbom, définissez sbom-validation-collect-evidence sur 1. Les informations collectées seront collectées en tant que pièce jointe à com.ibm.code_bom_check en tant que type d'informations collectées et type d'outil en tant que sbom-utility.