Exportación de una lista de materiales de software para el repositorio

Puedes exportar una lista de materiales de software o SBOM para el repositorio desde el gráfico de dependencias. Los SBOM permiten la transparencia en su uso de open source y ayudan a exponer vulnerabilidades de la cadena de suministro, lo que reduce los riesgos de la cadena de suministro.

¿Quién puede utilizar esta característica?

Cualquier usuario de GitHub

En este artículo

Puede exportar el estado actual del gráfico de dependencias de su repositorio como una lista de materiales (SBOM) de software en el formato estándar SPDX.

Los SBOM incluyen un inventario de las dependencias de un proyecto e información asociada, como versiones, identificadores de paquete, licencias, rutas de acceso transitivas e información de copyright. Los SBOMs no incluyen dependencias (otros proyectos que dependen de tu proyecto).

Exportación de una lista de materiales de software para el repositorio desde la UI

  1. En GitHub, navegue hasta la página principal del repositorio.

  2. En la barra lateral izquierda, haga clic en Gráfico de dependencias.

  3. En la parte superior derecha de la pestaña Dependencias, haz clic en Exportar SBOM para generar un archivo SBOM que se descargue del explorador.

Exportación de una lista de materiales de software para el repositorio con la API de REST

Si quieres usar la API de REST para exportar una SBOM para el repositorio, consulta Puntos de conexión de la API de REST para la lista de materiales de software (SBOM).

Generación de una lista de materiales de software a partir de GitHub Actions

Las siguientes acciones generarán un SBOM para el repositorio y lo asociarán como un artefacto de flujo de trabajo que puede descargar y usar en otras aplicaciones. Para obtener más información sobre cómo descargar artefactos del flujo de trabajo, consulte Descargar los artefactos del flujo de trabajo.

AcciónDetalles
          [Acción de Envío de Dependencia SPDX](https://github.com/marketplace/actions/spdx-dependency-submission-action) | Usa la [Herramienta SBOM de Microsoft](https://github.com/microsoft/sbom-tool) para crear SBOM compatibles con SPDX 2.2 con los [ecosistemas compatibles](https://github.com/microsoft/component-detection/blob/main/docs/feature-overview.md) |

          [Anchore SBOM Action](https://github.com/marketplace/actions/anchore-sbom-action) | Usa [Syft](https://github.com/anchore/syft) para crear SBOM compatibles con SPDX 2.2 con los ecosistemas compatibles [](https://github.com/anchore/syft#supported-ecosystems)  |

          [Acción de Envío de Dependencias SBOM](https://github.com/marketplace/actions/sbom-submission-action)| Carga un SBOM de CycloneDX en la API de envío de dependencias |