Skip to main content

Cette version de GitHub Enterprise Server n'est plus disponible depuis le 2024-09-25. Aucune publication de correctifs n’est effectuée, même pour les problèmes de sécurité critiques. Pour de meilleures performances, une sécurité améliorée et de nouvelles fonctionnalités, effectuez une mise à niveau vers la dernière version de GitHub Enterprise. Pour obtenir de l’aide sur la mise à niveau, contactez le support GitHub Enterprise.

Exportation d’une nomenclature logicielle pour votre dépôt

Vous pouvez exporter une nomenclature logicielle (ou nomenclature SBOM) pour votre dépôt à partir du graphe de dépendances. Les nomenclatures SBOM apportent de la transparence à votre utilisation de l’open source et aident à exposer les vulnérabilités de la chaîne logistique, réduisant ainsi les risques liés à celle-ci.

Qui peut utiliser cette fonctionnalité ?

Toute personne sur GitHub

À propos des exportations de nomenclature SBOM et du graphe de dépendances

Le graphe des dépendances est un résumé des fichiers manifest et des fichiers de verrouillage dans un dépôt. Il contient également toutes les dépendances soumises pour le dépôt à l'aide de l'interface API de soumission de dépendances. Pour chaque dépôt, il affiche les dépendances, c’est-à-dire les écosystèmes et les packages dont il dépend.

GitHub Enterprise Server ne récupère pas les informations de licence pour les dépendances, et ne calcule pas les informations sur les dépendants, les dépôts et les packages qui dépendent d’un dépôt.

Vous pouvez exporter l’état actuel du graphe de dépendances pour votre dépôt sous la forme d’une nomenclature logicielle (SBOM) au format SPDX standard :

  • Via l’interface utilisateur de GitHub
  • En utilisant l’API REST

Un SBOM est un inventaire formel, lisible par la machine, des dépendances d’un projet et des informations associées (par exemple, versions et identifiants de package). Les fichiers SBOM aident à réduire les risques de la chaîne logistique, car :

  • ils fournissent une transparence sur les dépendances utilisées par votre dépôt
  • ils permettent d’identifier les vulnérabilités au début du processus
  • ils fournissent des insights sur les problèmes de conformité, de sécurité ou de qualité des licences pouvant exister dans votre codebase
  • ils vous permettent de mieux respecter divers standards de protection des données

Si votre entreprise fournit des logiciels au gouvernement fédéral des États-Unis au titre du décret 14028, vous devez fournir une nomenclature SBOM pour votre produit. Vous pouvez également utiliser des nomenclatures SBOM dans le cadre de votre processus d’audit et les utiliser pour vous conformer aux exigences réglementaires et légales.

Note

Les dépendants ne sont pas inclus dans les SBOM.

Exportation d’une nomenclature logicielle pour votre dépôt à partir de l’interface utilisateur

  1. Sur GitHub, accédez à la page principale du référentiel.

  2. Sous le nom de votre référentiel, cliquez sur Insights.

    Capture d’écran de la page principale d’un dépôt. Dans la barre de navigation horizontale, un onglet, marqué d’une icône de graphique et du titre « Insights », est indiqué en orange foncé.

  3. Dans la barre latérale à gauche, cliquez sur Graphe des dépendances.

  4. En haut à droite de l’onglet Dépendances, cliquez sur Exporter la nomenclature SBOM pour générer un fichier SBOM à télécharger à partir de votre navigateur.

Exportation d’une nomenclature logicielle pour votre dépôt avec l’API REST

Si vous souhaitez utiliser l’API REST pour exporter un SBOM pour votre référentiel, consultez « Points de terminaison d’API REST pour la nomenclature logicielle (SBOM). »