Como exportar uma lista de materiais de software para seu repositório

Você pode exportar uma SBOM ou uma lista de materiais de software para seu repositório por meio do grafo de dependência. Os SBOMs permitem transparência em seu uso de open source e ajudam a expor vulnerabilidades da cadeia de suprimentos, reduzindo os riscos da cadeia de suprimentos.

Quem pode usar esse recurso?

Qualquer pessoa em GitHub

Neste artigo

Você pode exportar o estado atual do grafo de dependências do seu repositório como uma lista de materiais de software (SBOM) usando o formato padrão do setor SPDX.

Os SBOMs incluem um inventário das dependências de um projeto e as informações associadas, como versõesde identificadores de pacote, identificadores de pacote, licenças, caminhos transitivos e informações de direitos autorais. SBOMs não incluem dependentes (outros projetos que dependem do seu projeto).

Exportar uma lista de materiais de software para o repositório na interface do usuário

  1. Em GitHub, acesse a página principal do repositório.

  2. No nome do repositório, clique em Insights.

    Captura de tela da página principal de um repositório. Na barra de navegação horizontal, uma guia, rotulada com um ícone de grafo e "Insights", está contornada em laranja.

  3. Na barra lateral esquerda, clique em Grafo de dependência.

  4. No canto superior direito da guia Dependências, clique em Exportar SBOM para gerar um arquivo SBOM para download no navegador.

Exportar uma lista de materiais de software para o repositório usando a API REST

Se você deseja usar a API REST para exportar um SBOM para seu repositório, consulte Endpoints da API REST para lista de materiais de software (SBOM).

Gerando uma lista de materiais de software a partir de GitHub Actions

As ações a seguir vão gerar uma SBOM para seu repositório e o anexarão como um artefato de fluxo de trabalho que você pode baixar e usar em outros aplicativos. Para obter mais informações sobre como baixar artefatos de fluxo de trabalho, consulte Baixar artefatos do fluxo de trabalho.

AçãoDetalhes
          [Ação de Submissão de Dependência SPDX](https://github.com/marketplace/actions/spdx-dependency-submission-action) | Usa [a ferramenta SBOM da Microsoft](https://github.com/microsoft/sbom-tool) para criar SBOMs compatíveis com SPDX 2.2 com os ecossistemas [suportados](https://github.com/microsoft/component-detection/blob/main/docs/feature-overview.md) |

          [Anchore SBOM Action](https://github.com/marketplace/actions/anchore-sbom-action) | Usa [Syft](https://github.com/anchore/syft) para criar SBOMs compatíveis com SPDX 2.2 com os ecossistemas suportados [](https://github.com/anchore/syft#supported-ecosystems)  |
          [Ação de Submissão de Dependência SBOM](https://github.com/marketplace/actions/sbom-submission-action)| Carrega um SBOM CycloneDX para API de envio de dependência |