Exportation d’une nomenclature logicielle pour votre dépôt

Vous pouvez exporter une nomenclature logicielle (ou nomenclature SBOM) pour votre dépôt à partir du graphe de dépendances. Les nomenclatures SBOM apportent de la transparence à votre utilisation de l’open source et aident à exposer les vulnérabilités de la chaîne logistique, réduisant ainsi les risques liés à celle-ci.

Qui peut utiliser cette fonctionnalité ?

Toute personne sur GitHub

Dans cet article

Vous pouvez exporter l’état actuel du graphique de dépendance pour votre référentiel en tant que facture logicielle de matériaux (SBOM) à l’aide du format SPDX standard du secteur.

Les SBOMs incluent un inventaire des dépendances d’un projet et des informations associées telles que versions, identificateurs de package, licences, chemins transitifs et informations de copyright. Les SBOMs n’incluent pas de dépendances (d’autres projets qui s’appuient sur votre projet).

Exportation d’une nomenclature logicielle pour votre dépôt à partir de l’interface utilisateur

  1. Sur GitHub, accédez à la page principale du référentiel.

  2. Sous le nom de votre référentiel, cliquez sur Insights.

    Capture d’écran de la page principale d’un dépôt. Dans la barre de navigation horizontale, un onglet, marqué d’une icône de graphique et du titre « Insights », est mis en évidence en orange.

  3. Dans la barre latérale à gauche, cliquez sur Graphe des dépendances.

  4. En haut à droite de l’onglet Dépendances, cliquez sur Exporter la nomenclature SBOM pour générer un fichier SBOM à télécharger à partir de votre navigateur.

Exportation d’une nomenclature logicielle pour votre dépôt à l'aide de l'API REST

Si vous souhaitez utiliser l’API REST pour exporter une nomenclature SBOM pour votre dépôt, consultez Points de terminaison d’API REST pour la nomenclature logicielle (SBOM).

Génération d’une nomenclature logicielle à partir de GitHub Actions

Les actions suivantes génèrent une nomenclature SBOM pour votre dépôt et l’attachent en tant qu’artefact de workflow que vous pouvez télécharger et utiliser dans d’autres applications. Pour plus d’informations sur le téléchargement d’artefacts de workflow, consultez Téléchargement d’artefacts de workflow.

ActionDétails
          [Action SPDX Dependency Submission](https://GitHub.com/marketplace/actions/spdx-dependency-submission-action) | Utilise l’[outil SBOM de Microsoft](https://GitHub.com/microsoft/sbom-tool) pour créer des nomenclatures SBOM compatibles SPDX 2.2 avec des [écosystèmes pris en charge](https://GitHub.com/microsoft/component-detection/blob/main/docs/feature-overview.md) |

          [Action SBOM Anchore](https://GitHub.com/marketplace/actions/anchore-sbom-action) | Utilise [Syft](https://GitHub.com/anchore/syft) pour créer des nomenclatures SBOM compatibles SPDX 2.2 avec des [écosystèmes pris en charge](https://GitHub.com/anchore/syft#supported-ecosystems)  |

          [Action SBOM Dependency Submission](https://GitHub.com/marketplace/actions/sbom-submission-action)| Charge une nomenclature SBOM CycloneDX sur API de soumission de dépendances |