리포지토리에 대한 소프트웨어 자료 청구서 내보내기

종속성 그래프 리포지토리에 대한 소프트웨어 자재 명세서(SBOM)를 내보낼 수 있습니다. SBOM은 open source 사용에 대한 투명성을 허용하고 공급망 취약성을 노출하여 공급망 위험을 줄이는 데 도움이 됩니다.

누가 이 기능을 사용할 수 있나요?

GitHub의 모든 사용자

이 기사에서

업계 표준 SPDX 형식을 사용하여 리포지토리에 대한 종속성 그래프의 현재 상태를 SBOM(소프트웨어 청구서)으로 내보낼 수 있습니다.

SBOM에는 프로젝트 종속성의 인벤토리와 버전, 패키지 식별자, 라이선스, 전이적 경로 및 저작권 정보와 같은 관련 정보가 포함됩니다. SBOM에는 여러분의 프로젝트에 의존하는 다른 프로젝트(종속성)가 포함되지 않습니다.

UI에서 리포지토리에 대한 소프트웨어 자료 청구서 내보내기

  1. GitHub에서 리포지토리의 기본 페이지로 이동합니다.

  2. 리포지토리 이름 아래에서 인사이트를 클릭합니다.

    리포지토리의 기본 페이지 스크린샷. 수평 탐색 모음에서 그래프 아이콘과 "Insights" 레이블이 있는 탭이 주황색 윤곽선으로 표시됩니다.

  3. 왼쪽 사이드바에서 종속성 그래프를 클릭합니다.

  4.        **종속성** 탭 오른쪽 위에서 **SBOM 내보내기**를 클릭하여 브라우저에서 다운로드할 SBOM 파일을 생성합니다.

REST API를 사용하여 리포지토리에 대한 소프트웨어 자료 청구서 내보내기

REST API를 사용하여 리포지토리에 대한 SBOM을 내보내려면 SBOM(소프트웨어 자료 청구서)에 대한 REST API 엔드포인트을(를) 참조하세요.

GitHub Actions에서 소프트웨어 제품 구성 정보 생성하기

다음 작업은 리포지토리에 대한 SBOM을 생성하고 이를 워크플로 아티팩트로 연결하여 다른 애플리케이션에서 다운로드하고 사용할 수 있도록 합니다. 워크플로 아티팩트를 다운로드하는 방법에 대한 자세한 내용은 워크플로 아티팩트 다운로드을(를) 참조하세요.

조치세부 정보
          [SPDX 종속성 제출 작업](https://github.com/marketplace/actions/spdx-dependency-submission-action) | <c0>Microsoft의 SBOM 도구</c0>를 사용하여 <c1> 지원 에코시스템</c1과 SPDX 2.2 호환 SBOM을 만듭니다> |

          [안코어 SBOM 액션](https://github.com/marketplace/actions/anchore-sbom-action) | <c0>Syft</c0>를 사용하여 지원되는 에코시스템에서 SPDX 2.2 호환 SBOM을 만듭니다.  |

          [SBOM 종속성 제출 작업](https://github.com/marketplace/actions/sbom-submission-action)| 종속성 제출 API에 CycloneDX SBOM 업로드 |