Skip to main content

Como exportar uma lista de materiais de software para seu repositório

Você pode exportar uma SBOM ou uma lista de materiais de software para seu repositório por meio do grafo de dependência. As SBOMs permitem transparência no seu uso de código aberto e ajudam a expor vulnerabilidades da cadeia de fornecedores, reduzindo os riscos da cadeia de fornecedores.

Quem pode usar esse recurso?

Anyone can export the dependency graph of a repository as a software bill of materials. The SBOM export will contain a list of the dependencies that are used in the repository.

Sobre as exportações de grafo de dependência e de SBOM

O gráfico de dependência é um resumo dos arquivos de manifesto e de bloqueio armazenados em um repositório e quaisquer dependências enviadas para o repositório usando API de envio de dependência (beta). Para cada repositório, ele mostra as dependências, ou seja, os ecossistemas e os pacotes dos quais ele depende.

O GitHub Enterprise Server não calcula informações sobre os dependentes, os repositórios e os pacotes que dependem de um repositório.

Exporte o estado atual do grafo de dependência para seu repositório como uma SBOM (lista de materiais de Software) usando o formato SPDX padrão do setor:

  • Por meio da interface do usuário de GitHub
  • Usando a API REST

Uma SBOM é um inventário formal e legível por computador das dependências e das informações associadas de um projeto (como versões e identificadores de pacote). As SBOMs ajudam a reduzir os riscos da cadeia de fornecedores:

  • fornecendo transparência sobre as dependências usadas pelo repositório
  • permitindo que as vulnerabilidades sejam identificadas no início do processo
  • fornecendo insights sobre problemas de conformidade, segurança ou qualidade de licença que podem existir na base de código
  • permitindo que você cumpra melhor os vários padrões de proteção de dados

Se a sua empresa fornecer um software ao governo federal dos EUA nos termos da Ordem Executiva 14028, você precisará fornecer uma SBOM para seu produto. Use também as SBOMs como parte do processo de auditoria e para cumprir os requisitos regulatórios e legais.

Como exportar uma lista de materiais de software para seu repositório na interface do usuário

  1. No sua instância do GitHub Enterprise Server, navegue até a página principal do repositório.

  2. Abaixo do nome do repositório, clique em Insights.

    Captura de tela da página principal de um repositório. Na barra de navegação horizontal, uma guia, rotulada com um ícone de grafo e "Insights", é destacada em laranja escuro.

  3. Na barra lateral esquerda, clique em Grafo de dependência.

  4. No canto superior direito da guia Dependências, clique em Exportar SBOM para gerar um arquivo SBOM para download no navegador.

Como exportar uma lista de materiais de software para seu repositório usando a API REST

Se você quiser usar a API REST para exportar um SBOM para seu repositório, consulte "Pontos de extremidade da API REST para lista de materiais de software (SBOM)".