Сведения об экспорте граф зависимостей и SBOM
Граф зависимостей — это сводка файлов манифеста и блокировки, хранящихся в репозитории, и всех зависимостей, отправленных в этот репозиторий через API отправки зависимостей (бета-версия). Для каждого репозитория отображается:
-
Зависимости, экосистемы и пакеты, от которых он зависит
-
Зависимые, репозитории и пакеты, зависящие от него
Для каждой зависимости можно просмотреть сведения о лицензии и серьезность уязвимости. Вы также можете выполнить поиск определенной зависимости с помощью панели поиска. Зависимости автоматически сортируются по степени серьезности уязвимости.
Вы можете экспортировать текущее состояние граф зависимостей для репозитория в виде спецификации программного обеспечения (SBOM) с помощью стандартного отраслевого формата SPDX.
SBOM — это формальный, машиночитаемый перечень зависимостей проекта и связанных сведений (например, версий, идентификаторов пакетов и лицензий). SBOM помогают снизить риски цепочки поставок за счет:
- обеспечение прозрачности зависимостей, используемых репозиторием
- позволяет выявлять уязвимости на ранних этапах процесса;
- предоставление аналитических сведений о проблемах с соответствием, безопасностью или качеством лицензий, которые могут существовать в базе кода.
- позволяет лучше соответствовать различным стандартам защиты данных
Если ваша компания предоставляет программное обеспечение федеральному правительству США согласно указу 14028, вам потребуется предоставить SBOM для вашего продукта. Вы также можете использовать SBOM в рамках процесса аудита и использовать их в соответствии с нормативными и юридическими требованиями.
Экспорт счета за программное обеспечение для репозитория из пользовательского интерфейса
-
На GitHub.com перейдите на главную страницу репозитория. 1. Под именем репозитория щелкните Insights.
-
На левой боковой панели щелкните Граф зависимостей.
-
В правой верхней части вкладки Зависимости щелкните Экспорт SBOM , чтобы создать SBOM-файл для скачивания из браузера.