关于依赖项关系图和 SBOM 导出
依赖项关系图是存储在存储库中的清单和锁定文件以及使用 依赖项提交 API 提交给存储库的任何依赖项的摘要。 对于每个存储库,它显示 依赖关系,即它所依赖的生态系统和包。
对于每个依赖项,可以看到漏洞严重程度。 还可以使用搜索栏搜索特定依赖项。 依赖项按漏洞严重程度自动排序。
GitHub Enterprise Server 不检索依赖项的授予许可信息,也不计算有关依赖项、存储库和依赖于存储库的包的信息。
可以使用行业标准 SPDX 格式将存储库依赖项关系图的当前状态导出为软件物料清单 (SBOM):
- 通过 GitHub UI
- 使用 REST API
SBOM 是项目依赖项和相关信息(如版本和软件包标识符)的正式、机器可读清单。 SBOM 通过以下方式帮助降低供应链风险:
- 让存储库使用的依赖项公开透明
- 支持在流程早期识别漏洞
- 提供有关代码库中可能存在的许可证合规性、安全性或质量问题的见解
- 使你能够更好地遵守各种数据保护标准
如果你的公司根据行政命令 14028 向美国联邦政府提供软件,则需要提供产品的 SBOM。 还可以在审核过程中使用 SBOM,并使用它们来遵守法规和法律要求。
Note
依赖项不包括在 SBOM 中。
从 UI 中导出存储库的软件物料清单
-
在 GitHub 上,导航到存储库的主页面。
-
在存储库名称下,单击 “见解”。
-
在左侧边栏中,单击“依赖项关系图”。
-
在“依赖项”选项卡的右上角,单击“导出 SBOM”生成 SBOM 文件,以便从浏览器下载 。
使用 REST API 导出存储库的软件物料清单
如果要使用 REST API 导出仓库的 SBOM,请参阅 适用于软件物料清单 (SBOM) 的 REST API 终结点。