以 cyclonedx 格式產生軟體資料清單 (SBOM)
OWASP CycloneDX 是一種輕量型「軟體資料清單 (BOM)」標準,設計用於應用程式安全環境定義和供應鏈元件分析。 「連續整合 (CI)」管線在 Code Risk Analyzer 的協助下產生「軟體資料清單」(BOM)。 依預設,此 BOM 會以 standard 及 cyclonedx 格式產生。
如果要進一步瞭解 BOM 產生作業,請參閱 資料清單(BOM)。
開始之前
此特性基於 V2 證明收集。 請確定您的自訂 Script 已收集 v2 證明,能夠使用 CycloneDX SBOM 產生。
持續整合管線
執行管線時,BOM 會以 standard 及 cyclonedx 格式新增為 com.ibm.code_bom_check 證明的附件。
sbom-utility 工具會完成一系列預設和自訂檢查來驗證軟體資料清單 (BOM),以查看 meta 資料是否包含:
- A component at the root level of the SBOM of the contains data
- 時間戳記
- A
nameandbom-reffor each component field
若要收集 sbom 驗證的證明,請將 sbom-validation-collect-evidence 設為 1。將證明收集為 com.ibm.code_bom_check 的附件,作為證明類型,並將工具類型收集為 sbom-utility。
如需相關資訊,請參閱 sbom-utility 工具文件。
連續部署管線
持續部署管線可以收集執行所部署之每一個資產的 CycloneDX BOM 附件。 管線會合併這些 CycloneDX SBOM,並將聚集的 CycloneDX BOM 上傳至變更要求作為附件。
執行管線之後,變更要求會有一個名為 CycloneDX SBOM 的附件,可在變更管理提供者使用者介面上檢查。
持續合規管線
在 CC 摘要期間,會將 BOM 附件視為如下:
- 如果找到證明類型
com.ibm.code_bom_check的 BOM 附件,則會下載該附件,並將其用於com.ibm.code_bom_check的 CC 證明。 未發生全新 BOM 重新產生。 - 如果找不到證明類型
com.ibm.code_bom_check的 BOM 附件,則會執行ibmcloud cra bom-generate,以同時以standard和cyclonedx格式在該點產生全新 BOM。 這個全新建立的BOM用於com.ibm.code_bom_check的 CC 證明。
若要收集 sbom 驗證的證明,請將 sbom-validation-collect-evidence 設為 1。 將收集證明作為 com.ibm.code_bom_check 的附件,作為證明類型,並將工具類型收集為 sbom-utility。