Informationen zum Abhängigkeitsdiagramm und zu SBOM-Exporten
Das Abhängigkeitsdiagramm ist eine Zusammenfassung von Manifest- und gesperrten Dateien, die in einem Repository gespeichert sind, und aller mithilfe der Abhängigkeitsübermittlungs-API für das Repository übermittelten Abhängigkeiten. Für jedes Repository wird Folgendes angezeigt Abhängigkeiten, also die Ökosysteme und Pakete, von denen es abhängig ist.
Für jede Abhängigkeit werden die Sicherheitsrisikoschweregrade angezeigt. Du kannst auch über die Suchleiste nach einer bestimmten Abhängigkeit suchen. Abhängigkeiten werden automatisch nach dem Sicherheitsrisikoschweregrad sortiert.
GitHub Enterprise Server ruft keine Lizenzinformationen für Abhängigkeiten ab und berechnet keine Informationen über Abhängigkeiten, Repositories und Pakete, die von einem Repository abhängen.
Du kannst den aktuellen Zustand des Abhängigkeitsdiagramms für dein Repository als Softwarestückliste im branchenüblichen SPDX-Format exportieren:
- Über die GitHub-Benutzeroberfläche
- Verwenden der REST-API
Eine SBOM ist ein formales, maschinenlesbares Verzeichnis der Abhängigkeiten eines Projekts und der zugehörigen Informationen (wie Versionen und Paketbezeichner). SBOMs reduzieren durch Folgendes die Lieferkettenrisiken:
- Transparenz über die von deinem Repository verwendeten Abhängigkeiten
- Frühzeitige Identifizierung von Sicherheitsrisiken
- Einblicke in die Lizenzkonformität, Sicherheit oder Qualitätsprobleme, die in deiner Codebasis bestehen können
- Einfachere Einhaltung verschiedener Datenschutzstandards
Wenn dein Unternehmen der US-Regierung Software gemäß Durchführungsverordnung 14028 zur Verfügung stellt, musst du eine SBOM für dein Produkt bereitstellen. Du kannst SBOMs auch als Teil deines Überwachungsprozesses und zur Einhaltung rechtlicher und gesetzlicher Anforderungen verwenden.
Note
Abhängige Objekte sind nicht in SBOMs enthalten.
Exportieren einer Software-Stückliste für Ihr Repository über die Benutzeroberfläche
-
Navigieren Sie auf GitHub zur Hauptseite des Repositorys.
-
Klicke unter dem Namen deines Repositorys auf die Option -Erkenntnisse.
-
Klicke auf der linken Randleiste auf Abhängigkeitsdiagramm.
-
Klicke oben rechts auf der Registerkarte Abhängigkeiten auf SBOM exportieren, um eine SBOM-Datei zum Herunterladen aus deinem Browser zu generieren.
Exportieren einer Softwarestückliste für Ihr Repository über die REST-API
Wenn du mithilfe der REST-API eine SBOM für dein Repository exportieren möchtest, finden du weitere Informationen unter REST-API-Endpunkte für Software-Stückliste (SBOM).