生成 cyclonedx
格式的软件材料清单 (SBOM)
OWASP CycloneDX 是轻量级“材料清单”(SBOM) 标准,旨在用于应用程序安全上下文和供应链组件分析。 持续集成 (CI) 管道在 Code Risk Analyzer 的帮助下生成“软件材料清单”(BOM
)。 缺省情况下,将以 standard
以及 cyclonedx
格式生成此 BOM
。
要了解有关 BOM
生成的更多信息,请参阅 材料清单(BOM)。
准备工作
此功能基于 V2 证据收集。 确保定制脚本已收集 v2 证据,以便能够使用 CycloneDX SBOM 生成。
持续集成管道
运行管道时,会将 BOM
添加为 standard
和 cyclonedx
格式的 com.ibm.code_bom_check
证据的附件。
sbom-utility
工具通过完成一系列缺省和定制检查来验证软件材料清单 (SBOM),以查看元数据是否包含:
- 包含数据的 SBOM 根级别的组件
- 时间戳记
- 每个组件字段的
name
和bom-ref
为了收集 sbom 验证的证据,请将 sbom-validation-collect-evidence
设置为 1
。证据作为 com.ibm.code_bom_check
的附件作为证据类型进行收集,工具类型作为 sbom-utility
进行收集。
有关更多信息,请参阅 sbom-utility
工具文档。
持续部署管道
持续部署管道可以收集运行所部署的每个资产的 CycloneDX SBOM 附件。 管道合并这些 CycloneDX SBOM,并将聚集的 CycloneDX SBOM 作为附件上载到变更请求。
在管道运行后,变更请求具有名为 CycloneDX SBOM
的附件,可以在变更管理提供程序 UI 上进行检查。
持续合规性管道
在 CC 摘要期间,SBOM 附件按如下所示处理:
- 如果找到证据类型
com.ibm.code_bom_check
的 SBOM 附件,那么将下载该附件并将其用于com.ibm.code_bom_check
的 CC 证据。 不会发生全新的 SBOM 重新生成。 - 如果找不到证据类型
com.ibm.code_bom_check
的 SBOM 附件,那么将运行ibmcloud cra bom-generate
以生成standard
和cyclonedx
格式的新 BOM。 此新创建的BOM
用于com.ibm.code_bom_check
的 CC 证据。
为了收集 sbom 验证的证据,请将 sbom-validation-collect-evidence
设置为 1。 证据将作为 com.ibm.code_bom_check
的附件作为证据类型收集,工具类型作为 sbom-utility
收集。