Экспорт программного счета за материалы для репозитория

Вы можете экспортировать счет за программное обеспечение материалов или SBOM для репозитория из граф зависимостей. SBOM обеспечивают прозрачность использования open source и помогают выявлять уязвимости цепочки поставок, снижая риски в цепочке поставок.

Кто может использовать эту функцию?

Любой пользователь в GitHub

В этой статье

Вы можете экспортировать текущее состояние графа зависимостей для вашего репозитория в виде программного материала (SBOM) в формате отраслевого стандарта SPDX.

SBOM включает инвентаризацию зависимостей project и сопутствующую информацию, такую как версии и идентификаторы пакетовдругих версий %}версий, идентификаторы пакетов, лицензии, транзитивные пути и информация об авторских правах. SBOM не включает иждивенцев (другие проекты, зависящие от вашего project).

Экспорт программного счета за материалы для репозитория из пользовательского интерфейса

  1. На GitHubперейдите на главную страницу репозитория.

  2. Под именем репозитория щелкните Insights.

    Снимок экрана: главная страница репозитория. На горизонтальной панели навигации вкладка, помеченная значком графа и "Аналитика", описывается оранжевым цветом.

  3. На левой боковой панели щелкните Граф зависимостей.

  4. В правой верхней части вкладки Зависимостей нажмите кнопку "Экспорт SBOM", чтобы создать SBOM-файл для скачивания из браузера.

Экспорт программного счета за материалы для репозитория с помощью REST API

Если вы хотите использовать REST API для экспорта SBOM для репозитория, см. раздел Конечные точки REST API для выставления счетов за программное обеспечение (SBOM).

Создание счета за программное обеспечение материалов из GitHub Actions

Следующие действия создают SBOM для репозитория и присоединяют его как артефакт рабочего процесса, который можно скачать и использовать в других приложениях. Для получения дополнительной информации о загрузке рабочих процессов artifacts см. Скачивание артефактов рабочего процесса.

ДействиеСведения
          [SPDX Действие по подаче зависимостей](https://github.com/marketplace/actions/spdx-dependency-submission-action) | Использует [инструмент SBOM от Microsoft](https://github.com/microsoft/sbom-tool) для создания совместимых с SPDX 2.2 SBOM с поддерживаемыми [экосистемами](https://github.com/microsoft/component-detection/blob/main/docs/feature-overview.md) |

          [Anchore SBOM Action](https://github.com/marketplace/actions/anchore-sbom-action) | Использует [Syft](https://github.com/anchore/syft) для создания совместимых с SPDX 2.2 SBOM с поддерживаемыми экосистемами [поддерживаемыми](https://github.com/anchore/syft#supported-ecosystems)  |

          [SBOM Action Submission Dependency](https://github.com/marketplace/actions/sbom-submission-action)| Отправляет SBOM циклонаDX в API отправки зависимостей |