导出存储库的软件物料清单

您可以从依赖关系图中导出存储库的软件物料清单或 SBOM。SBOM 允许您透明地了解开源的使用情况,并有助于发现供应链漏洞,从而降低供应链风险。

谁可以使用此功能?

GitHub 上的任何用户

本文档内容

关于依赖关系图和 SBOM 导出

依赖关系图是存储在存储库中的清单和锁定文件以及使用依赖关系提交 API 提交到存储库的任何依赖关系的摘要。对于每个存储库,它显示

  • 依赖关系,它所依赖的生态系统和包
  • 依赖方,依赖于它的存储库和包

对于每个依赖关系,您可以查看许可证信息和漏洞严重性。您还可以使用搜索栏搜索特定依赖关系。依赖关系会根据漏洞严重性自动排序。

您可以使用行业标准 SPDX 格式将存储库的依赖关系图的当前状态导出为软件物料清单 (SBOM)

  • 通过 GitHub UI
  • 使用 REST API

SBOM 是项目依赖项及其关联信息(例如版本、包标识符、许可证和版权信息)的正式、机器可读的清单。SBOM 通过以下方式帮助降低供应链风险:

  • 提供有关存储库使用的依赖项的透明度
  • 允许在流程早期识别漏洞
  • 提供对代码库中可能存在的许可证合规性、安全或质量问题的见解
  • 使您能够更好地遵守各种数据保护标准

如果您的公司根据 第 14028 号行政令 向美国联邦政府提供软件,则您需要为您的产品提供 SBOM。您还可以将 SBOM 用作审核流程的一部分,并将其用于遵守监管和法律要求。

注意

SBOM 中不包含依赖方。

从 UI 导出存储库的软件物料清单

  1. 在 GitHub 上,导航到存储库的主页。

  2. 在存储库名称下,单击 Insights.

    Screenshot of the main page of a repository. In the horizontal navigation bar, a tab, labeled with a graph icon and "Insights," is outlined in dark orange.

  3. 在左侧边栏中,单击**依赖关系图**。

  4. 在**依赖关系**选项卡的右上方,单击**导出 SBOM** 以生成一个 SBOM 文件,以便从您的浏览器下载。

使用 REST API 导出存储库的软件物料清单

如果您想使用 REST API 导出存储库的 SBOM,请参阅“软件物料清单 (SBOM) 的 REST API 端点”。