Generazione della bolletta software dei materiali (SBOM) in formato cyclonedx

OWASP CycloneDX è uno standard SBOM (Software Bill of Materials) leggero progettato per l'utilizzo nei contesti di sicurezza delle applicazioni e nell'analisi dei componenti della supply chain. La Pipeline (Continuous Integration) genera il Software Bill of Materials (BOM) con l'ausilio di Codice Risk Analyzer. Per impostazione predefinita, questo BOM viene creato nel formato standard e cyclonedx.

Per saperne di più sulla generazione BOM, consultare Bill of Materials(BOM).

Prima di iniziare

Questa funzione si basa sulla raccolta di prove V2. Assicurati che i tuoi script personalizzati raccolgano già la prova v2 per poter utilizzare la generazione SBOM CycloneDX.

Pipeline di integrazione continua

Quando la pipeline viene eseguita, BOM viene aggiunto come un allegato alla prova com.ibm.code_bom_check in formato standard e cyclonedx.

Lo strumento sbom-utility convalida la distinta base del software (SBOM) completando una serie di controlli predefiniti e personalizzati per verificare se i metadati contengono:

  • Un componente al livello root di SBOM che contiene dati
  • Una data/ora
  • A name e bom-ref per ogni campo componente

Per raccogliere le prove per la convalida sbom, impostare sbom-validation-collect-evidence su 1.La prova viene raccolta come un allegato a com.ibm.code_bom_check come tipo di prova e tipo di strumento come sbom-utility.

Per ulteriori informazioni, consultare la documentazione dello strumento sbom-utility.

Pipeline di distribuzione continua

La pipeline di distribuzione continua può raccogliere il collegamento SBOM CycloneDX di ogni asset distribuito dall'esecuzione. La pipeline unisce questi SBOM CycloneDX e carica l'SBOM CycloneDX aggregato nella richiesta di modifica come allegato.

Dopo l'esecuzione della pipeline, la richiesta di modifica ha un allegato che viene denominato CycloneDX SBOM che può essere ispezionato sulla UI di gestione dei cambiamenti.

Pipeline di conformità continua

Durante la sintesi CC l'attaccante SBOM è trattato come segue:

  • Se si trova un allegato SBOM per il tipo di prova com.ibm.code_bom_check, l'allegato viene scaricato e viene utilizzato per le prove CC per com.ibm.code_bom_check. La rigenerazione SBOM fresca non avviene.
  • Se non viene trovato un allegato SBOM per il tipo di prove com.ibm.code_bom_check, ibmcloud cra bom-generate viene eseguito per generare il nuovo BOM in quel momento in formato standard e cyclonedx. Questo BOM appena creato viene utilizzato per la prova CC per com.ibm.code_bom_check.

Per raccogliere le prove per la convalida sbom, impostare sbom-validation-collect-evidence su 1. La prova verrà raccolta come un allegato a com.ibm.code_bom_check come tipo di prova e il tipo di strumento come sbom-utility.