Diese Version von GitHub Enterprise Server wird eingestellt am 2024-06-29. Es wird keine Patch-Freigabe vorgenommen, auch nicht für kritische Sicherheitsprobleme. Für bessere Leistung, verbesserte Sicherheit und neue Features aktualisiere auf die neueste Version von GitHub Enterprise Server. Wende dich an den GitHub Enterprise-Support, um Hilfe zum Upgrade zu erhalten.

Exportieren einer Software-Stückliste (Software Bill of Materials, SBOM) für dein Repository

Du kannst eine Software-Stückliste (SBOM) für dein Repository aus dem Abhängigkeitsdiagramm exportieren. SBOMs ermöglichen Transparenz bei deiner Open Source-Nutzung und helfen dabei, Sicherheitsrisiken in der Lieferkette aufzudecken und dadurch Risiken in der Lieferkette zu reduzieren.

Wer kann dieses Feature verwenden?

Anyone can export the dependency graph of a repository as a software bill of materials. The SBOM export will contain a list of the dependencies that are used in the repository.

In diesem Artikel

Informationen zum Abhängigkeitsdiagramm und zu SBOM-Exporten

Das Abhängigkeitsdiagramm ist eine Zusammenfassung von Manifest- und gesperrten Dateien, die in einem Repository gespeichert sind, und aller mithilfe der Abhängigkeitsübermittlungs-API (Beta) für das Repository übermittelten Abhängigkeiten. Für jedes Repository wird Folgendes angezeigt Abhängigkeiten, also die Ökosysteme und Pakete, von denen es abhängig ist.

GitHub Enterprise Server berechnet weder Informationen zu abhängigen Elementen noch zu den Repositorys und Paketen, die von einem Repository abhängig sind.

Du kannst den aktuellen Zustand des Abhängigkeitsdiagramms für dein Repository als Softwarestückliste im branchenüblichen SPDX-Format exportieren:

  • Über die GitHub-Benutzeroberfläche
  • Verwenden der REST-API

Eine SBOM ist ein formales, maschinenlesbares Verzeichnis der Abhängigkeiten eines Projekts und der zugehörigen Informationen (wie Versionen und Paketbezeichner). SBOMs reduzieren durch Folgendes die Lieferkettenrisiken:

  • Transparenz über die von deinem Repository verwendeten Abhängigkeiten
  • Frühzeitige Identifizierung von Sicherheitsrisiken
  • Einblicke in die Lizenzkonformität, Sicherheit oder Qualitätsprobleme, die in deiner Codebasis bestehen können
  • Einfachere Einhaltung verschiedener Datenschutzstandards

Wenn dein Unternehmen der US-Regierung Software gemäß Durchführungsverordnung 14028 zur Verfügung stellt, musst du eine SBOM für dein Produkt bereitstellen. Du kannst SBOMs auch als Teil deines Überwachungsprozesses und zur Einhaltung rechtlicher und gesetzlicher Anforderungen verwenden.

Exportieren einer Software-Stückliste für dein Repository über die Benutzeroberfläche

  1. Navigiere auf Ihre GitHub Enterprise Server-Instance zur Hauptseite des Repositorys.

  2. Klicke unter dem Namen deines Repositorys auf die Option -Erkenntnisse.

    Screenshot der Hauptseite eines Repositorys. In der horizontalen Navigationsleiste ist eine Registerkarte, die mit einem Diagrammsymbol versehen und mit „Erkenntnisse“ beschriftet ist, dunkelorange umrandet.

  3. Klicke auf der linken Randleiste auf Abhängigkeitsdiagramm.

  4. Klicke oben rechts auf der Registerkarte Abhängigkeiten auf SBOM exportieren, um eine SBOM-Datei zum Herunterladen aus deinem Browser zu generieren.

Exportieren einer Softwarestückliste für dein Repository über die REST-API

Wenn Sie mithilfe der REST-API eine SBOM für Ihr Repository exportieren möchten, finden Sie weitere Informationen unter „REST-API-Endpunkte für Software-Stückliste (SBOM)“.