Skip to main content
Мы публикуем частые обновления нашей документации, и перевод этой страницы может все еще выполняться. Актуальные сведения см. в документации на английском языке.
All products
Безопасность кода

Экспорт спецификации программного обеспечения для репозитория

В этой статье

Вы можете экспортировать счет на программное обеспечение или SBOM для репозитория из граф зависимостей. Модули SBOM обеспечивают прозрачность использования открытый код и помогают выявить уязвимости в цепочке поставок, снижая риски, связанные с цепочкой поставок.

Кто может использовать эту функцию

Anyone can export the dependency graph of a repository as a software bill of materials. The SBOM export will contain a list of the dependencies that are used in the repository.

Сведения об экспорте граф зависимостей и SBOM

Граф зависимостей — это сводка файлов манифеста и блокировки, хранящихся в репозитории, и всех зависимостей, отправленных в этот репозиторий через API отправки зависимостей (бета-версия). Для каждого репозитория отображается:

  • Зависимости, экосистемы и пакеты, от которых он зависит

  • Зависимые, репозитории и пакеты, зависящие от него

    Для каждой зависимости можно просмотреть сведения о лицензии и серьезность уязвимости. Вы также можете выполнить поиск определенной зависимости с помощью панели поиска. Зависимости автоматически сортируются по степени серьезности уязвимости.

Вы можете экспортировать текущее состояние граф зависимостей для репозитория в виде спецификации программного обеспечения (SBOM) с помощью стандартного отраслевого формата SPDX.

SBOM — это формальный, машиночитаемый перечень зависимостей проекта и связанных сведений (например, версий, идентификаторов пакетов и лицензий). SBOM помогают снизить риски цепочки поставок за счет:

  • обеспечение прозрачности зависимостей, используемых репозиторием
  • позволяет выявлять уязвимости на ранних этапах процесса;
  • предоставление аналитических сведений о проблемах с соответствием, безопасностью или качеством лицензий, которые могут существовать в базе кода.
  • позволяет лучше соответствовать различным стандартам защиты данных

Если ваша компания предоставляет программное обеспечение федеральному правительству США согласно указу 14028, вам потребуется предоставить SBOM для вашего продукта. Вы также можете использовать SBOM в рамках процесса аудита и использовать их в соответствии с нормативными и юридическими требованиями.

Экспорт счета за программное обеспечение для репозитория из пользовательского интерфейса

  1. На GitHub.com перейдите на главную страницу репозитория. 1. Под именем репозитория щелкните Insights.

    Снимок экрана: страница main репозитория. На горизонтальной панели навигации вкладка со значком графа и надписью "Аналитика" выделена темно-оранжевым цветом.

  2. На левой боковой панели щелкните Граф зависимостей.

  3. В правой верхней части вкладки Зависимости щелкните Экспорт SBOM , чтобы создать SBOM-файл для скачивания из браузера.