Вы можете экспортировать текущее состояние графа зависимостей для вашего репозитория в виде программного материала (SBOM) в формате отраслевого стандарта SPDX.
SBOM включают инвентаризацию зависимостей проекта и сопутствующую информацию, такую как пакетов, версии идентификаторов пакетов, лицензии, транзитивные пути и информация об авторских правах. SBOM не включает иждивенцев (другие проекты, зависящие от вашего project).
Экспорт программного счета за материалы для репозитория из пользовательского интерфейса
-
На GitHubперейдите на главную страницу репозитория.
-
Под именем репозитория щелкните Insights.
-
На левой боковой панели щелкните Граф зависимостей.
-
В правой верхней части вкладки Зависимостей нажмите кнопку "Экспорт SBOM", чтобы создать SBOM-файл для скачивания из браузера.
Экспорт программного счета за материалы для репозитория с помощью REST API
Если вы хотите использовать REST API для экспорта SBOM для репозитория, см. раздел Конечные точки REST API для выставления счетов за программное обеспечение (SBOM).
Формирование программного списка материалов из GitHub Actions
Следующие действия создают SBOM для репозитория и присоединяют его как артефакт рабочего процесса, который можно скачать и использовать в других приложениях. Для получения дополнительной информации о загрузке рабочих процессов artifacts см. Скачивание артефактов рабочего процесса.
| Действие | Сведения |
|---|
SPDX Действие по подаче зависимостей | Использует инструмент SBOM от Microsoft для создания совместимых с SPDX 2.2 SBOM с поддерживаемыми экосистемами |
Anchore SBOM Action | Использует Syft для создания совместимых с SPDX 2.2 SBOM с поддерживаемыми экосистемами поддерживаемыми |
SBOM Action Submission Dependency| Загружает SBOM CycloneDX в API отправки зависимостей |