IBM Cloud Docs
生成 cyclonedx 格式的软件材料清单 (SBOM)

生成 cyclonedx 格式的软件材料清单 (SBOM)

OWASP CycloneDX 是轻量级“材料清单”(SBOM) 标准,旨在用于应用程序安全上下文和供应链组件分析。 持续集成 (CI) 管道在 Code Risk Analyzer 的帮助下生成“软件材料清单”(BOM)。 缺省情况下,将以 standard 以及 cyclonedx 格式生成此 BOM

要了解有关 BOM 生成的更多信息,请参阅 材料清单(BOM)

准备工作

此功能基于 V2 证据收集。 确保定制脚本已收集 v2 证据,以便能够使用 CycloneDX SBOM 生成。

持续集成管道

运行管道时,会将 BOM 添加为 standardcyclonedx 格式的 com.ibm.code_bom_check 证据的附件。

sbom-utility 工具通过完成一系列缺省和定制检查来验证软件材料清单 (SBOM),以查看元数据是否包含:

  • 包含数据的 SBOM 根级别的组件
  • 时间戳记
  • 每个组件字段的 namebom-ref

为了收集 sbom 验证的证据,请将 sbom-validation-collect-evidence 设置为 1。证据作为 com.ibm.code_bom_check 的附件作为证据类型进行收集,工具类型作为 sbom-utility 进行收集。

有关更多信息,请参阅 sbom-utility 工具文档

持续部署管道

持续部署管道可以收集运行所部署的每个资产的 CycloneDX SBOM 附件。 管道合并这些 CycloneDX SBOM,并将聚集的 CycloneDX SBOM 作为附件上载到变更请求。

在管道运行后,变更请求具有名为 CycloneDX SBOM 的附件,可以在变更管理提供程序 UI 上进行检查。

持续合规性管道

在 CC 摘要期间,SBOM 附件按如下所示处理:

  • 如果找到证据类型 com.ibm.code_bom_check 的 SBOM 附件,那么将下载该附件并将其用于 com.ibm.code_bom_check 的 CC 证据。 不会发生全新的 SBOM 重新生成。
  • 如果找不到证据类型 com.ibm.code_bom_check 的 SBOM 附件,那么将运行 ibmcloud cra bom-generate 以生成 standardcyclonedx 格式的新 BOM。 此新创建的 BOM 用于 com.ibm.code_bom_check 的 CC 证据。

为了收集 sbom 验证的证据,请将 sbom-validation-collect-evidence 设置为 1。 证据将作为 com.ibm.code_bom_check 的附件作为证据类型收集,工具类型作为 sbom-utility收集。