为您的仓库导出软件材料清单

您可以从依赖图为您的仓库导出软件材料清单(SBOM)。SBOM 可提高对开源使用情况的透明度,帮助揭示供应链漏洞,降低供应链风险。

谁可以使用此功能?

GitHub 上的任何人

本文内容

您可以使用行业标准 SPDX 格式,将仓库的依赖图当前状态导出为软件材料清单(SBOM)。

SBOM 包含项目依赖项的清单及相关信息,如版本、软件包标识符、许可证、传递路径和版权信息。SBOM 不包括依赖它的项目(即其他依赖您项目的项目)。

从 UI 为您的仓库导出软件材料清单

  1. 在 GitHub 上,导航至仓库的主页面。

  2. 在您的仓库名称下,点击 洞察

    Screenshot of the main page of a repository. In the horizontal navigation bar, a tab, labeled with a graph icon and "Insights," is outlined in orange.

  3. 在左侧边栏中,单击 依赖图

  4. Dependencies 选项卡的右上角,点击 Export SBOM,在浏览器中生成可下载的 SBOM 文件。

使用 REST API 为您的仓库导出软件材料清单

如果您想使用 REST API 为仓库导出 SBOM,请参阅 软件材料清单(SBOM)的 REST API 端点

从 GitHub Actions 生成软件材料清单

以下操作将为您的仓库生成 SBOM,并将其作为工作流制品附加,您可以下载并在其他应用中使用。有关下载工作流制品的更多信息,请参阅 下载工作流制品

操作详细信息
SPDX 依赖提交 Action使用 Microsoft 的 SBOM 工具 创建兼容 SPDX 2.2 的 SBOM,支持的生态系统请参阅 受支持的生态系统
Anchore SBOM Action使用 Syft 创建兼容 SPDX 2.2 的 SBOM,支持的生态系统请参阅 受支持的生态系统
SBOM 依赖提交 Action将 CycloneDX SBOM 上传至依赖提交 API
© . This site is unofficial and not affiliated with GitHub, Inc.