导出存储库的软件物料清单

可以从依赖项关系图导出存储库的软件物料清单 (SBOM)。 SBOM 可实现开放源代码使用情况透明化,并有助于暴露供应链漏洞,从而降低供应链风险。

谁可以使用此功能?

GitHub 上的任何人

本文内容

关于依赖项关系图和 SBOM 导出

依赖项关系图是存储在存储库中的清单和锁定文件以及使用 依赖项提交 API 提交给存储库的任何依赖项的摘要。 对于每个存储库,它显示:

  • 依赖项、它依赖的生态系统和包
  • 依赖项,是指依赖于它的存储库和包

对于每个依赖项,可以看到版本、许可证信息、包含它的清单文件,以及它是否具有已知漏洞。 对于支持可传递依赖项的包生态系统,会显示关系状态,并且公开按钮“...”将显示引入依赖项的可传递路径。**** 有关可传递依赖项支持的详细信息,请参阅 依赖项关系图支持的包生态系统

还可以使用搜索栏搜索特定依赖项。 依赖项自动排序,漏洞显示在顶部。

可以使用行业标准 SPDX 格式将存储库依赖项关系图的当前状态导出为软件物料清单 (SBOM):

  • 通过 GitHub UI
  • 使用 REST API

SBOM 是项目依赖项和相关信息(如版本、包标识符、许可证、支持可传递依赖标签的包生态系统的可传递路径,以及版权信息)的正式、机器可读清单。 SBOM 可通过以下方式帮助降低供应链风险:

  • 让仓库使用的依赖项公开透明
  • 支持跨代码库识别漏洞
  • 提供有关代码库中可能存在的许可证合规性、安全性或质量议题的见解
  • 使你能够更好地遵守各种数据保护标准

有关支持可传递依赖项标签的生态系统的详细信息,请参阅 依赖项关系图支持的包生态系统.

如果你的公司根据行政命令 14028 向美国联邦政府提供软件,则需要提供产品的 SBOM。 还可以在审核过程中使用 SBOM,并使用它们来遵守法规和法律要求。

Note

依赖项不包括在 SBOM 中。

从 UI 中导出存储库的软件物料清单

  1. 在 GitHub 上,导航到存储库的主页面。

  2. 在存储库名称下,单击 “见解”。

    存储库的主页的屏幕截图。 在水平导航栏中,以橙色框出了标有图形图标和“见解”的选项卡。

  3. 在左侧边栏中,单击“依赖项关系图”。

  4. 在“依赖项”选项卡的右上角,单击“导出 SBOM”生成 SBOM 文件,以便从浏览器下载 。

使用 REST API 导出存储库的软件物料清单

如果要使用 REST API 导出仓库的 SBOM,请参阅 适用于软件物料清单 (SBOM) 的 REST API 终结点