Skip to main content

리포지토리에 대한 소프트웨어 자료 청구서 내보내기

종속성 그래프 리포지토리에 대한 소프트웨어 자료 청구서 또는 SBOM을 내보낼 수 있습니다. SBOM은 오픈 소스 사용에 대한 투명도를 허용하고 공급망 취약성을 노출하여 공급망 위험을 줄이는 데 도움이 됩니다.

누가 이 기능을 사용할 수 있나요?

Anyone can export the dependency graph of a repository as a software bill of materials. The SBOM export will contain a list of the dependencies that are used in the repository.

종속성 그래프 및 SBOM 내보내기 정보

종속성 그래프는 리포지토리에 저장된 매니페스트 및 잠금 파일과 종속성 제출 API을(를) 사용하여 리포지토리에 대해 제출된 모든 종속성을 요약한 것입니다. 각 리포지토리에 대해 다음이 표시됩니다.

  • 리포지토리가 의존하는 종속성, 에코시스템 및 패키지
  • 리포지토리에 의존하는 종속 항목, 리포지토리 및 패키지

각 종속성에 대해 라이선스 정보 및 취약성 심각도를 확인할 수 있습니다. 검색 표시줄을 사용하여 특정 종속성을 검색할 수도 있습니다. 종속성은 취약성 심각도에 따라 자동으로 정렬됩니다.

업계 표준 SPDX 형식을 사용하여 리포지토리에 대한 종속성 그래프의 현재 상태를 소프트웨어 자료 청구서(SBOM)로 내보낼 수 있습니다.

  • GitHub UI 이용
  • REST API 사용

SBOM은 프로젝트의 종속성 및 관련 정보(예: 버전, 패키지 식별자, 라이선스 및 저작권 정보)의 공식적이고 컴퓨터에서 읽을 수 있는 인벤토리입니다. SBOM은 다음을 통해 공급망 위험을 줄일 수 있습니다.

  • 리포지토리에서 사용하는 종속성에 대한 투명성 제공
  • 프로세스 초기에 취약성을 식별할 수 있도록 허용
  • 코드베이스에 있을 수 있는 라이선스 규정 준수, 보안 또는 품질 문제에 대한 인사이트 제공
  • 다양한 데이터 보호 표준을 더 잘 준수할 수 있도록 지원

회사에서 행정 명령 14028에 따라 미국 연방 정부에 소프트웨어를 제공하는 경우 해당 제품에 대한 SBOM을 제공해야 합니다. 감사 프로세스의 일부로 SBOM을 사용하고 이를 사용하여 규정 및 법적 요구 사항을 준수할 수도 있습니다.

Note

종속 항목은 SBOM에 포함되지 않습니다.

UI에서 리포지토리에 대한 소프트웨어 자료 청구서 내보내기

  1. GitHub.com에서 리포지토리의 기본 페이지로 이동합니다.

  2. 리포지토리 이름 아래에서 인사이트를 클릭합니다.

    리포지토리의 기본 페이지 스크린샷. 수평 탐색 모음에서 그래프 아이콘과 "인사이트" 레이블이 있는 탭이 진한 주황색으로 표시됩니다.

  3. 왼쪽 사이드바에서 종속성 그래프를 클릭합니다.

  4. 종속성 탭 오른쪽 위에서 SBOM 내보내기를 클릭하여 브라우저에서 다운로드할 SBOM 파일을 생성합니다.

REST API를 사용하여 리포지토리에 대한 소프트웨어 자료 청구서 내보내기

REST API를 사용하여 리포지토리에 대한 SBOM을 내보내려면 "SBOM(소프트웨어 자료 청구서)에 대한 REST API 엔드포인트" 항목을 참조하세요.