Cette version de GitHub Enterprise Server n'est plus disponible depuis le 2025-04-03. Aucune publication de correctifs n’est effectuée, même pour les problèmes de sécurité critiques. Pour de meilleures performances, une sécurité améliorée et de nouvelles fonctionnalités, effectuez une mise à niveau vers la dernière version de GitHub Enterprise. Pour obtenir de l’aide sur la mise à niveau, contactez le support GitHub Enterprise.

Exportation d’une nomenclature logicielle pour votre dépôt

Vous pouvez exporter une nomenclature logicielle (ou nomenclature SBOM) pour votre dépôt à partir du graphe de dépendances. Les nomenclatures SBOM apportent de la transparence à votre utilisation de l’open source et aident à exposer les vulnérabilités de la chaîne logistique, réduisant ainsi les risques liés à celle-ci.

Qui peut utiliser cette fonctionnalité ?

Toute personne sur GitHub

Dans cet article

À propos des exportations de nomenclature SBOM et du graphe de dépendances

Le graphe des dépendances est un résumé des fichiers manifest et des fichiers de verrouillage dans un dépôt. Il contient également toutes les dépendances soumises pour le dépôt à l'aide de l'interface API de soumission de dépendances. Pour chaque dépôt, il affiche les dépendances, c’est-à-dire les écosystèmes et les packages dont il dépend.

Pour chaque dépendance, vous pouvez voir la version, le fichier manifeste qui l’inclut, et si elle présente des vulnérabilités connues. Pour les écosystèmes de package prenant en charge les dépendances transitives, l’état de la relation sera affiché et le bouton de divulgation ... affichera le chemin transitif qui a introduit la dépendance. Pour plus d’informations sur la prise en charge des dépendances transitives, consultez Écosystèmes de packages pris en charge pour le graphe des dépendances.

Vous pouvez également rechercher une dépendance spécifique à partir de la barre de recherche. Les dépendances sont triées automatiquement, les vulnérabilités apparaissant en haut de la liste.

GitHub ne récupère pas les informations de licence pour les dépendances, et ne calcule pas les informations sur les dépendants, les référentiels et les packages qui dépendent d’un référentiel.

Vous pouvez exporter l’état actuel du graphe de dépendances pour votre dépôt sous la forme d’une nomenclature logicielle (SBOM) au format SPDX standard :

  • Via l’interface utilisateur de GitHub
  • En utilisant l’API REST

Une SBOM est un inventaire formel et lisible par machine des dépendances d’un projet et des informations associées (telles que les versions et les identifiants de package). Les SBOMs aident à réduire les risques liés à la chaîne logistique en :

  • Fournir une transparence sur les dépendances utilisées par votre référentiel
  • Autoriser l’identification des vulnérabilités dans votre codebase
  • Fournir des insights sur les problèmes de conformité, de sécurité ou de qualité de la licence pouvant exister dans votre codebase
  • Vous permettre de mieux vous conformer aux différentes normes en matière de protection des données

Si votre entreprise fournit des logiciels au gouvernement fédéral des États-Unis au titre du décret 14028, vous devez fournir une nomenclature SBOM pour votre produit. Vous pouvez également utiliser des nomenclatures SBOM dans le cadre de votre processus d’audit et les utiliser pour vous conformer aux exigences réglementaires et légales.

Note

Les dépendants ne sont pas inclus dans les SBOM.

Exportation d’une nomenclature logicielle pour votre dépôt à partir de l’interface utilisateur

  1. Sur GitHub, accédez à la page principale du référentiel.

  2. Sous le nom de votre référentiel, cliquez sur Insights.

    Capture d’écran de la page principale d’un dépôt. Dans la barre de navigation horizontale, un onglet, marqué d’une icône de graphique et du titre « Insights », est mis en évidence en orange.

  3. Dans la barre latérale à gauche, cliquez sur Graphe des dépendances.

  4. En haut à droite de l’onglet Dépendances, cliquez sur Exporter la nomenclature SBOM pour générer un fichier SBOM à télécharger à partir de votre navigateur.

Exportation d’une nomenclature logicielle pour votre dépôt avec l’API REST

Si vous souhaitez utiliser l’API REST pour exporter un SBOM pour votre référentiel, consultez « Points de terminaison d’API REST pour la nomenclature logicielle (SBOM). »