准备工作

此功能基于 V2 证据收集。 确保定制脚本已收集 v2 证据，以便能够使用 CycloneDX SBOM 生成。

持续集成管道

运行管道时，会将 BOM 添加为 standard 和 cyclonedx 格式的 com.ibm.code_bom_check 证据的附件。

sbom-utility 工具通过完成一系列缺省和定制检查来验证软件材料清单 (SBOM)，以查看元数据是否包含:

• 包含数据的 SBOM 根级别的组件
• 时间戳记
• 每个组件字段的 name 和 bom-ref

为了收集 sbom 验证的证据，请将 sbom-validation-collect-evidence 设置为 1。证据作为 com.ibm.code_bom_check 的附件作为证据类型进行收集，工具类型作为 sbom-utility 进行收集。

有关更多信息，请参阅 sbom-utility 工具文档。

持续部署管道

持续部署管道可以收集运行所部署的每个资产的 CycloneDX SBOM 附件。 管道合并这些 CycloneDX SBOM，并将聚集的 CycloneDX SBOM 作为附件上载到变更请求。

在管道运行后，变更请求具有名为 CycloneDX SBOM 的附件，可以在变更管理提供程序 UI 上进行检查。

持续合规性管道

在 CC 摘要期间，SBOM 附件按如下所示处理:

• 如果找到证据类型 com.ibm.code_bom_check 的 SBOM 附件，那么将下载该附件并将其用于 com.ibm.code_bom_check 的 CC 证据。 不会发生全新的 SBOM 重新生成。
• 如果找不到证据类型 com.ibm.code_bom_check 的 SBOM 附件，那么将运行 ibmcloud cra bom-generate 以生成 standard 和 cyclonedx 格式的新 BOM。 此新创建的 BOM 用于 com.ibm.code_bom_check 的 CC 证据。

为了收集 sbom 验证的证据，请将 sbom-validation-collect-evidence 设置为 1。 证据将作为 com.ibm.code_bom_check 的附件作为证据类型收集，工具类型作为 sbom-utility收集。