Exportación de una lista de materiales de software para el repositorio

Puedes exportar una lista de materiales de software o SBOM para el repositorio desde el gráfico de dependencias. Las listas de materiales de software permiten un uso de código abierto transparente y ayudan a exponer vulnerabilidades de la cadena de suministros, lo que ayuda a reducir sus riesgos.

¿Quién puede utilizar esta característica?

Anyone can export the dependency graph of a repository as a software bill of materials. The SBOM export will contain a list of the dependencies that are used in the repository.

En este artículo

Acerca del gráfico de dependencias y las exportaciones de SBOM

El gráfico de dependencias es un resumen de los archivos de manifiesto y de bloqueo almacenados en un repositorio y las dependencias que se envían para el repositorio mediante la API de envío de dependencias (beta). Para cada repositorio, muestra:

  • Las dependencias, ecosistemas y paquetes de los cuales depende
  • Dependientes, los repositorios y paquetes que dependen de él

Puedes ver la información de la licencia y la gravedad de la vulnerabilidad para cada dependencia. También puedes buscar una dependencia específica mediante la barra de búsqueda. Las dependencias se ordenan automáticamente por gravedad de la vulnerabilidad.

Puedes exportar el estado actual del gráfico de dependencias de tu repositorio como una lista de materiales de software (SBOM) con el formato SPDX estándar del sector:

  • A través de la interfaz de usuario de GitHub
  • Mediante la API de REST

Una lista de materiales de software (SBOM) es un inventario formal legible por máquina de las dependencias de un proyecto y la información asociada (como versiones, identificadores de paquete y licencias). Las listas de materiales de software ayudan a reducir los riesgos de la cadena de suministros al:

  • Proporcionar transparencia sobre las dependencias que usa el repositorio
  • Permitir que las vulnerabilidades se identifiquen al principio del proceso
  • Proporcionar información sobre el cumplimiento de las licencias, la seguridad o los problemas de calidad que puedan existir en el código base
  • Permitirte cumplir mejor distintos estándares de protección de datos

Si tu empresa proporciona software al gobierno federal de los Estados Unidos de acuerdo con la Orden Ejecutiva 14028, deberás proporcionar una lista de materiales de software para tu producto. También puedes usar las listas de materiales de software como parte del proceso de auditoría y utilizarlas para cumplir con los requisitos normativos y legales.

Exportación de una lista de materiales de software para el repositorio desde la interfaz de usuario

  1. En GitHub.com, navega a la página principal del repositorio.

  2. En el nombre del repositorio, haga clic en Información.

    Captura de pantalla de la página principal de un repositorio. En la barra de navegación horizontal, una pestaña, etiquetada con un icono de grafo y "Información", se destaca en naranja oscuro.

  3. En la barra lateral izquierda, haga clic en Gráfico de dependencias.

  4. En la parte superior derecha de la pestaña Dependencias, haz clic en Exportar SBOM para generar un archivo SBOM que se descargue del explorador.

Exportación de una lista de materiales de software para el repositorio con la API REST

Si quieres usar la API de REST para exportar una SBOM para el repositorio, consulta «Puntos de conexión de la API de REST para la lista de materiales de software (SBOM)».