Mit dem Branchenstandard SPDX Format können Sie den aktuellen Status des Abhängigkeitsdiagramms für Ihr Repository als Softwareabrechnung (SBOM) exportieren.
SBOMs umfassen eine Bestandsaufnahme der Abhängigkeiten eines Projekts und zugehörige Informationen wie , Paket-IDs, Lizenzen, transitive Pfade und Copyrightinformationen. SBOMs enthalten keine Nachfolger (andere Projekte, die auf Ihr Projekt basieren).
Exportieren einer Software-Stückliste für Ihr Repository über die Benutzeroberfläche
-
Navigieren Sie auf GitHub zur Hauptseite des Repositorys.
-
Klicke unter dem Repositorynamen auf Insights.
-
Klicke auf der linken Randleiste auf Abhängigkeitsdiagramm.
-
Klicke oben rechts auf der Registerkarte Abhängigkeiten auf SBOM exportieren, um eine SBOM-Datei zum Herunterladen aus deinem Browser zu generieren.
Exportieren einer Softwarestückliste für Ihr Repository über die REST-API
Wenn Sie mithilfe der REST-API eine SBOM für Ihr Repository exportieren möchten, finden Sie weitere Informationen unter REST-API-Endpunkte für Software-Stückliste (SBOM).
Erstellen einer Software-Stückliste aus GitHub Actions
Die folgenden Aktionen generieren eine SBOM für dein Repository und fügen es als Workflowartefakt an, das du herunterladen und in anderen Anwendungen verwenden kannst. Weitere Informationen zum Herunterladen von Workflow-artifacts finden Sie unter Herunterladen von Workflowartefakten.
| Action | Einzelheiten |
|---|
SPDX-Abhängigkeitsübermittlungsaktion | Verwendet Microsofts SBOM-Tool zum Erstellen von SPDX 2.2-kompatiblen SBOMs mit den unterstützten Ökosystemen |
Anchore SBOM Action | Verwendet Syft zum Erstellen von SPDX 2.2-kompatiblen SBOMs mit den supportierten Ökosystemen |
SBOM-Abhängigkeitsübermittlungsaktion| Lädt ein CycloneDX-SBOM in das Abhängigkeitsübermittlungs-API |