MrtnvdS
commented
7 months ago Er is een tool genaamd Syft die je kunt gebruiken om een container image te scannen en een SPDX format (of enkele andere formaten) SBOM lijst te genereren. Deze tool laat zich als plugin in docker installeren. Maar kan ook rechstreeks worden aangeroepen. Ik heb het volgende experiment in mijn lab gedaan: -.Syft als docker plugin geïnstalleerd -.enkele SBOM's van een container image in verschillende formaten waaronder SPDX gegenereerd middels het "docker sbom" commando Het hele experiment (uitzoeken Syft, als plugin installeren en wat SBOM's genereren) was heel snel voor elkaar.
Hier vind je een handleiding om Syft als docker plugin in te zetten: https://earthly.dev/blog/docker-sbom/#:~:text=How%20to%20Generate%20a%20SBOM%20for%20Your%20Docker,Platform%20...%206%20Exclude%20Specific%20Container%20Paths%20
Hier een andere om Syft direct in te zetten: https://anchore.com/sbom/how-to-generate-an-sbom-with-free-open-source-tools/
sgort
onursagir
Dit issue vervangt #343
Belangrijke ontwikkelingen:
Zolang je een SBoM hebt volgens een breed gedragen standaard, kan je kiezen welke tool je gebruikt. In de praktijk betekent dat SPDX (https://spdx.dev/) of CycloneDX (https://cyclonedx.org/).
Dependency Track (https://dependencytrack.org/) is een van de state-of-the-art tools, dat met CycloneDX kan werken.
Zie ook SBOM startergids (https://www.ncsc.nl/onderzoek/documenten/publicaties/2023/juli/5/sbom-startersgids).
User stories