SBOM(소프트웨어 자료 청구서)에 대한 REST API 엔드포인트

REST API를 사용하여 리포지토리에 대한 SBOM(소프트웨어 제품 구성 정보)을 내보냅니다.

리포지토리에 대한 최소한의 읽기 권한이 있는 경우 GitHub UI 또는 GitHub REST API를 통해 리포지토리에 대한 종속성 그래프를 SPDX 호환 SBOM(Software Bill of Materials)으로 내보낼 수 있습니다. 자세한 내용은 리포지토리에 대한 소프트웨어 자료 청구서 내보내기을(를) 참조하세요.

이 문서에서는 REST API 엔드포인트에 대한 세부 정보를 제공합니다.

참고

GitHub Enterprise Server는 종속성에 대한 라이선스 정보를 검색하지 않으며 종속성, 리포지토리 및 리포지토리에 의존하는 패키지에 대한 정보를 계산하지 않습니다. 이러한 필드는 응답에 채워지지 않습니다.

Export a software bill of materials (SBOM) for a repository.

Exports the software bill of materials (SBOM) for a repository in SPDX JSON format.

fine_grained_access

works_with_fine_grained_tokens:

permission_set:

"Contents" repository permissions (read)

allows_public_read_access

"Export a software bill of materials (SBOM) for a repository."에 대한 매개 변수

머리글
이름, 유형, 설명
`accept` string Setting to `application/vnd.github+json` is recommended.

경로 매개 변수
이름, 유형, 설명
`owner` string 필수 The account owner of the repository. The name is not case sensitive.
`repo` string 필수 The name of the repository without the `.git` extension. The name is not case sensitive.

http_status_code

status_code	설명
`200`	OK
`403`	Forbidden
`404`	Resource not found

code_samples

request_example

get/repos/{owner}/{repo}/dependency-graph/sbom

curl -L \
  -H "Accept: application/vnd.github+json" \
  -H "Authorization: Bearer <YOUR-TOKEN>" \
  -H "X-GitHub-Api-Version: 2026-03-10" \
  http(s)://HOSTNAME/api/v3/repos/OWNER/REPO/dependency-graph/sbom

Response

Status: 200

{
  "sbom": {
    "SPDXID": "SPDXRef-DOCUMENT",
    "spdxVersion": "SPDX-2.3",
    "creationInfo": {
      "created": "2021-09-01T00:00:00Z",
      "creators": [
        "Tool: GitHub.com-Dependency-Graph"
      ]
    },
    "name": "github/example",
    "dataLicense": "CC0-1.0",
    "documentNamespace": "https://spdx.org/spdxdocs/protobom/15e41dd2-f961-4f4d-b8dc-f8f57ad70d57",
    "packages": [
      {
        "SPDXID": "SPDXRef-Package",
        "name": "rubygems:rails",
        "versionInfo": "1.0.0",
        "downloadLocation": "NOASSERTION",
        "filesAnalyzed": false,
        "licenseConcluded": "NOASSERTION",
        "licenseDeclared": "NOASSERTION"
      }
    ],
    "relationships": [
      {
        "relationshipType": "DEPENDS_ON",
        "spdxElementId": "SPDXRef-Repository",
        "relatedSpdxElement": "SPDXRef-Package"
      },
      {
        "relationshipType": "DESCRIBES",
        "spdxElementId": "SPDXRef-DOCUMENT",
        "relatedSpdxElement": "SPDXRef-Repository"
      }
    ]
  }
}