Enterprise Server 3.20 目前作为发布候选版本提供。

导出存储库的软件物料清单

可以从依赖项关系图导出存储库的软件物料清单 (SBOM)。 SBOM 允许透明化open source使用情况,并帮助暴露供应链漏洞,降低供应链风险。

谁可以使用此功能?

GitHub 上的任何人

在本文中

可以使用行业标准 SPDX 格式将存储库的依赖项图的当前状态导出为软件清单(SBOM)。

SBOM 包含项目依赖项清单和相关信息,例如 版本和包标识符。 SBOM 不包含依赖方(即依赖你项目的其他项目)。

从 UI 中导出存储库的软件物料清单

  1. 在 GitHub 上,导航到存储库的主页面。
  2. 在左侧边栏中,单击依赖项关系图
  3. 依赖项选项卡的右上角,单击导出 SBOM 以生成 SBOM 文件,以便从浏览器下载。

使用 REST API 导出存储库的软件物料清单

如果要使用 REST API 导出存储库的 SBOM,请参阅 适用于软件物料清单 (SBOM) 的 REST API 终结点

从 GitHub Actions

生成软件物料清单

以下操作将为存储库生成 SBOM,并将其附加为工作流项目 - 你可下载该项目并在其他应用程序中使用。 有关下载工作流工件的详细信息,请参阅 下载工作流程构件

Action详细信息
          [SPDX 依赖项提交操作](https://github.com/marketplace/actions/spdx-dependency-submission-action) | 使用 [Microsoft 的 SBOM 工具](https://github.com/microsoft/sbom-tool)创建与 [支持的生态系统](https://github.com/microsoft/component-detection/blob/main/docs/feature-overview.md) 兼容的 SPDX 2.2 SBOM |

          [Anchore SBOM 操作](https://github.com/marketplace/actions/anchore-sbom-action) | 使用 [Syft](https://github.com/anchore/syft) 创建与 SPDX 2.2 兼容的 SBOM,适用于支持的生态系统。  |

          [SBOM 依赖项提交操作](https://github.com/marketplace/actions/sbom-submission-action)| 将 CycloneDX SBOM 上传到 依赖项提交 API |