cyclonedx 形式でのソフトウェア部品表 (SBOM) の生成

開始前に

この機能は、 V2 エビデンス収集に基づいています。 CycloneDX SBOM 生成を使用できるように、カスタム・スクリプトが既に v2 の証拠を収集していることを確認してください。

継続的統合パイプライン

パイプラインが実行されると、 BOM が添付ファイルとして standard と cyclonedx の両方の形式で com.ibm.code_bom_check エビデンスに追加されます。

sbom-utility ツールは、一連のデフォルトおよびカスタムのチェックを実行して、メタデータに以下が含まれているかどうかを確認することにより、ソフトウェア部品表 (SBOM) を検証します。

• データを含む SBOM のルート・レベルにあるコンポーネント
• タイム・スタンプ
• 各コンポーネント・フィールドの name および bom-ref

sbom 検証の証拠を収集するには、 sbom-validation-collect-evidence を 1 に設定します。エビデンスは、エビデンス・タイプとして com.ibm.code_bom_check に添付ファイルとして収集され、ツール・タイプは sbom-utility になります。

詳しくは、 sbom-utility ツールの資料 を参照してください。

継続的デプロイメント・パイプライン

継続的デプロイメント・パイプラインは、実行によってデプロイされるすべての資産の CycloneDX SBOM 添付ファイルを収集できます。 パイプラインはこれらの CycloneDX SBOM をマージし、集約された CycloneDX SBOM を添付ファイルとして変更要求にアップロードします。

パイプラインの実行後、変更要求には CycloneDX SBOM という名前の添付ファイルがあります。この添付ファイルは、変更管理プロバイダー UI で検査できます。

継続的コンプライアンス・パイプライン

CC 要約時に、SBOM 添付ファイルは以下のように扱われます。

• エビデンス・タイプ com.ibm.code_bom_check の SBOM 添付ファイルが見つかった場合は、添付ファイルがダウンロードされ、 com.ibm.code_bom_check の CC エビデンスに使用されます。 新しい SBOM の再生成は行われません。
• エビデンス・タイプ com.ibm.code_bom_check の SBOM 添付が見つからない場合は、 ibmcloud cra bom-generate が実行され、その時点で standard と cyclonedx の両方の形式で新しい BOM が生成されます。 この新しく作成された BOM は、 com.ibm.code_bom_check の CC エビデンスに使用されます。

sbom 検証の証拠を収集するには、 sbom-validation-collect-evidence を 1 に設定します。 エビデンスは、エビデンス・タイプとして com.ibm.code_bom_check の添付ファイルとして収集され、ツール・タイプは sbom-utility になります。