Exportation d’une nomenclature logicielle pour votre dépôt

Vous pouvez exporter une nomenclature logicielle (ou nomenclature SBOM) pour votre dépôt à partir du graphe de dépendances. Les SBOMs permettent la transparence dans votre utilisation de open source et aident à exposer les vulnérabilités de la chaîne d’approvisionnement, ce qui réduit les risques liés à la chaîne logistique.

Qui peut utiliser cette fonctionnalité ?

Toute personne sur GitHub

Dans cet article

Vous pouvez exporter l’état actuel du graphique de dépendances de votre référentiel sous forme de facture logicielle de matériaux (SBOM) à l’aide du format standard du secteur SPDX.

Les SBOMs incluent un inventaire des dépendances d'un projet et des informations associées telles que versions, identificateurs de paquet, licences, chemins transitifs et informations sur le droit d'auteur. Les SBOM n’incluent pas de dépendants (c'est-à-dire d’autres projets qui dépendent de votre projet).

Exportation d’une nomenclature logicielle pour votre dépôt à partir de l’interface utilisateur

  1. Sur GitHub, accédez à la page principale du référentiel.

  2. Sous le nom de votre référentiel, cliquez sur Insights.

    Capture d’écran de la page principale d’un dépôt. Dans la barre de navigation horizontale, un onglet, marqué d’une icône de graphique et du titre « Insights », est mis en évidence en orange.

  3. Dans la barre latérale à gauche, cliquez sur Graphe des dépendances.

  4. En haut à droite de l’onglet Dépendances, cliquez sur Exporter la nomenclature SBOM pour générer un fichier SBOM à télécharger à partir de votre navigateur.

Exportation d’une nomenclature logicielle pour votre dépôt à l'aide de l'API REST

Si vous souhaitez utiliser l’API REST pour exporter une nomenclature SBOM pour votre dépôt, consultez Points de terminaison d’API REST pour la nomenclature logicielle (SBOM).

Génération d’une nomenclature logicielle à partir de GitHub Actions

Les actions suivantes génèrent une nomenclature SBOM pour votre dépôt et l’attachent en tant qu’artefact de workflow que vous pouvez télécharger et utiliser dans d’autres applications. Pour plus d’informations sur le téléchargement de artifacts de flux de travail, consultez Téléchargement d’artéfacts de workflow.

ActionDétails
          [Action SPDX Dependency Submission](https://github.com/marketplace/actions/spdx-dependency-submission-action) | Utilise [Microsoft's SBOM Tool](https://github.com/microsoft/sbom-tool) pour créer des SBOMs compatibles SPDX 2.2 avec les écosystèmes [supportés](https://github.com/microsoft/component-detection/blob/main/docs/feature-overview.md) |

          [Action SBOM Anchore](https://github.com/marketplace/actions/anchore-sbom-action) | Utilise [Syft](https://github.com/anchore/syft) pour créer des SBOM compatibles SPDX 2.2 avec les écosystèmes [ pris en charge](https://github.com/anchore/syft#supported-ecosystems)  |

          [Action SBOM Dependency Submission](https://github.com/marketplace/actions/sbom-submission-action)| Charge une nomenclature SBOM CycloneDX sur API de soumission de dépendances |