Acerca del gráfico de dependencias y las exportaciones de SBOM
El gráfico de dependencias es un resumen de los archivos de manifiesto y de bloqueo almacenados en un repositorio y las dependencias que se envían para el repositorio mediante API de envío de dependencias (beta). Para cada repositorio, muestra dependencias, los ecosistemas y paquetes de los cuales depende.
GitHub Enterprise Server no recupera la información de licencia para las dependencias, y no calcula la información sobre las dependencias, los repositorios y los paquetes que dependen de un repositorio.
Puedes exportar el estado actual del gráfico de dependencias de tu repositorio como una lista de materiales de software (SBOM) con el formato SPDX estándar del sector:
- A través de la interfaz de usuario de GitHub
- Mediante la API de REST
Una lista de materiales de software (SBOM) es un inventario formal legible por máquina de las dependencias de un proyecto y la información asociada (como versiones e identificadores de paquete). Las listas de materiales de software ayudan a reducir los riesgos de la cadena de suministros al:
- Proporcionar transparencia sobre las dependencias que usa el repositorio
- Permitir que las vulnerabilidades se identifiquen al principio del proceso
- Proporcionar información sobre el cumplimiento de las licencias, la seguridad o los problemas de calidad que puedan existir en el código base
- Permitirte cumplir mejor distintos estándares de protección de datos
Si tu empresa proporciona software al gobierno federal de los Estados Unidos de acuerdo con la Orden Ejecutiva 14028, deberás proporcionar una lista de materiales de software para tu producto. También puedes usar las listas de materiales de software como parte del proceso de auditoría y utilizarlas para cumplir con los requisitos normativos y legales.
Exportación de una lista de materiales de software para el repositorio desde la UI
-
En tu instancia de GitHub Enterprise Server, navega a la página principal del repositorio.
-
En el nombre del repositorio, haga clic en Información.
-
En la barra lateral izquierda, haga clic en Gráfico de dependencias.
-
En la parte superior derecha de la pestaña Dependencias, haz clic en Exportar SBOM para generar un archivo SBOM que se descargue del explorador.
Exportación de una lista de materiales de software para el repositorio con la API de REST
Si quieres usar la API de REST para exportar una SBOM para el repositorio, consulta «Puntos de conexión de la API de REST para la lista de materiales de software (SBOM)».