À propos des exportations de nomenclature SBOM et du graphe de dépendances
Le graphe des dépendances est un résumé des manifestes et fichiers de verrouillage stockés dans un référentiel et de toutes les dépendances soumises pour le référentiel à l’aide de l’API de soumission de dépendances (bêta). Pour chaque dépôt, il affiche :
- Dépendances, les écosystèmes et les packages dont il dépend
- Les dépendants : les dépôts et packages qui en dépendent
Pour chaque dépendance, vous pouvez voir les informations de licence et la gravité de la vulnérabilité. Vous pouvez également rechercher une dépendance spécifique à partir de la barre de recherche. Les dépendances sont triées automatiquement par gravité de vulnérabilité.
Vous pouvez exporter l’état actuel du graphe de dépendances pour votre dépôt sous la forme d’une nomenclature logicielle (SBOM) au format SPDX standard :
- Via l’interface utilisateur de GitHub
- En utilisant l’API REST
Un SBOM est un inventaire formel, lisible par la machine, des dépendances d’un projet et des informations associées (par exemple, versions, identificateurs de package et licences). Les fichiers SBOM aident à réduire les risques de la chaîne logistique, car :
- ils fournissent une transparence sur les dépendances utilisées par votre dépôt
- ils permettent d’identifier les vulnérabilités au début du processus
- ils fournissent des insights sur les problèmes de conformité, de sécurité ou de qualité des licences pouvant exister dans votre codebase
- ils vous permettent de mieux respecter divers standards de protection des données
Si votre entreprise fournit des logiciels au gouvernement fédéral des États-Unis au titre du décret 14028, vous devez fournir une nomenclature SBOM pour votre produit. Vous pouvez également utiliser des nomenclatures SBOM dans le cadre de votre processus d’audit et les utiliser pour vous conformer aux exigences réglementaires et légales.
Exportation d’une nomenclature logicielle pour votre dépôt à partir de l’interface utilisateur
-
Dans GitHub.com, accédez à la page principale du dépôt.
-
Sous le nom de votre référentiel, cliquez sur Insights.
-
Dans la barre latérale à gauche, cliquez sur Graphe des dépendances.
-
En haut à droite de l’onglet Dépendances, cliquez sur Exporter la nomenclature SBOM pour générer un fichier SBOM à télécharger à partir de votre navigateur.
Exportation d’une nomenclature logicielle pour votre dépôt avec l’API REST
Si vous souhaitez utiliser l’API REST pour exporter un SBOM pour votre dépôt, consultez Nomenclature logicielle (SBOM) dans la documentation de l’API REST pour plus d’informations.