À propos des exportations de nomenclature SBOM et du graphe de dépendances
Le graphe des dépendances est un résumé des fichiers manifest et des fichiers de verrouillage dans un dépôt. Il contient également toutes les dépendances soumises pour le dépôt à l'aide de l'interface API de soumission de dépendances. Pour chaque dépôt, il affiche :
- Dépendances, les écosystèmes et les packages dont il dépend
- Les dépendants : les dépôts et packages qui en dépendent
Pour chaque dépendance, vous pouvez voir la version, les informations de licence, le fichier manifeste qui l’inclut, et si elle présente des vulnérabilités connues. Pour les écosystèmes de package prenant en charge les dépendances transitives, l’état de la relation sera affiché et le bouton de divulgation ... affichera le chemin transitif qui a introduit la dépendance. Pour plus d’informations sur la prise en charge des dépendances transitives, consultez Écosystèmes de packages pris en charge pour le graphe des dépendances.
Vous pouvez également rechercher une dépendance spécifique à partir de la barre de recherche. Les dépendances sont triées automatiquement, les vulnérabilités apparaissant en haut de la liste.
Vous pouvez exporter l’état actuel du graphe de dépendances pour votre dépôt sous la forme d’une nomenclature logicielle (SBOM) au format SPDX standard :
- Via l’interface utilisateur de GitHub
- En utilisant l’API REST
Une SBOM est un inventaire formel et lisible par machine des dépendances d’un projet et des informations associées (telles que les versions, les identifiants de package, les licences, les chemins transitifs pour les écosystèmes de packages prenant en charge l’étiquetage des dépendances transitives, et les informations de copyright). Les SBOMs aident à réduire les risques liés à la chaîne logistique en :
- Fournir une transparence sur les dépendances utilisées par votre référentiel
- Autoriser l’identification des vulnérabilités dans votre codebase
- Fournir des insights sur les problèmes de conformité, de sécurité ou de qualité de la licence pouvant exister dans votre codebase
- Vous permettre de mieux vous conformer aux différentes normes en matière de protection des données
Pour plus d’informations sur les écosystèmes prenant en charge l’étiquetage des dépendances transitives, consultez Écosystèmes de packages pris en charge pour le graphe des dépendances.
Si votre entreprise fournit des logiciels au gouvernement fédéral des États-Unis au titre du décret 14028, vous devez fournir une nomenclature SBOM pour votre produit. Vous pouvez également utiliser des nomenclatures SBOM dans le cadre de votre processus d’audit et les utiliser pour vous conformer aux exigences réglementaires et légales.
Note
Les dépendants ne sont pas inclus dans les SBOM.
Exportation d’une nomenclature logicielle pour votre dépôt à partir de l’interface utilisateur
-
Sur GitHub, accédez à la page principale du référentiel.
-
Sous le nom de votre référentiel, cliquez sur Insights.
-
Dans la barre latérale à gauche, cliquez sur Graphe des dépendances.
-
En haut à droite de l’onglet Dépendances, cliquez sur Exporter la nomenclature SBOM pour générer un fichier SBOM à télécharger à partir de votre navigateur.
Exportation d’une nomenclature logicielle pour votre dépôt avec l’API REST
Si vous souhaitez utiliser l’API REST pour exporter un SBOM pour votre référentiel, consultez « Points de terminaison d’API REST pour la nomenclature logicielle (SBOM). »