Exportieren einer Software-Stückliste (Software Bill of Materials, SBOM) für dein Repository

Du kannst eine Software-Stückliste (SBOM) für dein Repository aus dem Abhängigkeitsdiagramm exportieren. SBOMs ermöglichen Transparenz bei deiner Open Source-Nutzung und helfen dabei, Sicherheitsrisiken in der Lieferkette aufzudecken und dadurch Risiken in der Lieferkette zu reduzieren.

Wer kann dieses Feature verwenden?

Jeder auf GitHub

In diesem Artikel

Informationen zum Abhängigkeitsdiagramm und zu SBOM-Exporten

Das Abhängigkeitsdiagramm ist eine Zusammenfassung von Manifest- und gesperrten Dateien, die in einem Repository gespeichert sind, und aller mithilfe der Abhängigkeitsübermittlungs-API für das Repository übermittelten Abhängigkeiten. Für jedes Repository wird Folgendes angezeigt:

  • Abhängigkeiten (die Ökosysteme und Pakete, von denen es abhängig ist)
  • Abhängige Elemente (die Repositorys und Pakete, die von ihm abhängig sind)

Für jede Abhängigkeit kannst du die Version, die Lizenzinformationen, die Manifestdatei, die diese enthielt, und die Antwort auf die Frage anzeigen, ob es bekannte Sicherheitsrisiken gibt. Für Paketökosysteme, die transitive Abhängigkeiten unterstützen, wird der Beziehungsstatus angezeigt. Die Schaltfläche ... zeigt den transitiven Pfad an, über den die Abhängigkeit besteht. Weitere Informationen zur Unterstützung von transitiven Abhängigkeiten findest du unter Abhängigkeitsdiagramm unterstützte Paket-Ökosysteme.

Du kannst auch über die Suchleiste nach einer bestimmten Abhängigkeit suchen. Abhängigkeiten werden automatisch so sortiert, dass Sicherheitsrisiken oben stehen.

Du kannst den aktuellen Zustand des Abhängigkeitsdiagramms für dein Repository als Softwarestückliste im branchenüblichen SPDX-Format exportieren:

  • Über die GitHub-Benutzeroberfläche
  • Verwenden der REST-API

Eine SBOM stellt ein formales, maschinenlesbares Inventar der Abhängigkeiten und zugehörigen Informationen eines Projekts dar (z. B. Versionen, Paketbezeichner, Lizenzen, Transitive Pfade für Paketökosysteme mit Unterstützung für transitive Abhängigkeitsbezeichnungen und Urheberrechtsinformationen). SBOMs tragen folgendermaßen dazu bei, die Lieferkettenrisiken zu verringern:

  • Transparenz über die von deinem Repository verwendeten Abhängigkeiten
  • Zulassen, dass Sicherheitsrisiken codebasisübergreifend identifiziert werden
  • Einblicke in die Lizenzkonformität, Sicherheit oder Qualitätsprobleme, die in deiner Codebasis bestehen können
  • Bessere Einhaltung verschiedener Datenschutzstandards

Weitere Informationen zu den von transitiven Abhängigkeitsbezeichnungen unterstützten Ökosystemen findest du unter Abhängigkeitsdiagramm unterstützte Paket-Ökosysteme.

Wenn dein Unternehmen der US-Regierung Software gemäß Durchführungsverordnung 14028 zur Verfügung stellt, musst du eine SBOM für dein Produkt bereitstellen. Du kannst SBOMs auch als Teil deines Überwachungsprozesses und zur Einhaltung rechtlicher und gesetzlicher Anforderungen verwenden.

Note

Abhängige Objekte sind nicht in SBOMs enthalten.

Exportieren einer Software-Stückliste für Ihr Repository über die Benutzeroberfläche

  1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.

  2. Klicke unter dem Namen deines Repositorys auf die Option -Erkenntnisse.

    Screenshot der Hauptseite eines Repositorys. In der horizontalen Navigationsleiste ist eine Registerkarte, die mit einem Diagrammsymbol versehen und mit „Insights“ beschriftet ist, orange umrandet.

  3. Klicke auf der linken Randleiste auf Abhängigkeitsdiagramm.

  4. Klicke oben rechts auf der Registerkarte Abhängigkeiten auf SBOM exportieren, um eine SBOM-Datei zum Herunterladen aus deinem Browser zu generieren.

Exportieren einer Softwarestückliste für Ihr Repository über die REST-API

Wenn du mithilfe der REST-API eine SBOM für dein Repository exportieren möchtest, finden du weitere Informationen unter REST-API-Endpunkte für Software-Stückliste (SBOM).