概述目标:生成软件物料清单(SBOM)并进行依赖漏洞扫描,提升可追溯与风险治理能力。适用:容器镜像与源码项目的供应链安全。核心与实战生成镜像SBOM(CycloneDX格式):syft registry.example.com/app/web:1.2.3 -o cyclonedx-json > sbom.json 扫描镜像漏洞:grype registry.example.com/app/web:1.2.3 --fail-on high 生成源码SBOM:syft dir:./ -o spdx-json > sbom-spdx.json 示例CI集成(GitHub Actions):name: supply-chain on: [push] jobs: scan: runs-on: ubuntu-latest steps: - uses: actions/checkout@v4 - uses: anchore/[email protected] with: image: registry.example.com/app/web:1.2.3 output-format: cyclonedx-json output-file: sbom.json - uses: anchore/[email protected] with: image: registry.example.com/app/web:1.2.3 fail-on-severity: high 验证与监控SBOM质量:确认生成格式与包含依赖版本;在仓库保留sbom并进行审计。漏洞阈值与抑制:设置`--fail-on`或策略控制;对误报进行抑制并跟踪修复。合规与发布:将SBOM随发布产物分发;满足客户与监管要求。常见误区仅扫描不生成SBOM导致透明度不足;SBOM是基础档案。阈值过严造成流水线频繁失败;需结合风险与修复周期设定。SBOM未随发布产物提供;影响合规与客户信任。结语通过Syft与Grype实现SBOM与漏洞扫描的自动化,供应链安全可量化与可治理,助力合规与可信交付。
投稿
微信公众账号
微信扫一扫加关注
评论 返回
顶部
发表评论 取消回复