SBOM生成与漏洞扫描实践（Syft/Grype）

概述目标：生成软件物料清单（SBOM）并进行依赖漏洞扫描，提升可追溯与风险治理能力。适用：容器镜像与源码项目的供应链安全。核心与实战生成镜像SBOM（CycloneDX格式）：syft registry.example.com/app/web:1.2.3 -o cyclonedx-json > sbom.json

扫描镜像漏洞：grype registry.example.com/app/web:1.2.3 --fail-on high

生成源码SBOM：syft dir:./ -o spdx-json > sbom-spdx.json

示例CI集成（GitHub Actions）：name: supply-chain

on: [push]

jobs:

scan:

runs-on: ubuntu-latest

steps:

- uses: actions/checkout@v4

- uses: anchore/[email protected]

with:

image: registry.example.com/app/web:1.2.3

output-format: cyclonedx-json

output-file: sbom.json

- uses: anchore/[email protected]

with:

image: registry.example.com/app/web:1.2.3

fail-on-severity: high

验证与监控SBOM质量：确认生成格式与包含依赖版本；在仓库保留sbom并进行审计。漏洞阈值与抑制：设置`--fail-on`或策略控制；对误报进行抑制并跟踪修复。合规与发布：将SBOM随发布产物分发；满足客户与监管要求。常见误区仅扫描不生成SBOM导致透明度不足；SBOM是基础档案。阈值过严造成流水线频繁失败；需结合风险与修复周期设定。SBOM未随发布产物提供；影响合规与客户信任。结语通过Syft与Grype实现SBOM与漏洞扫描的自动化，供应链安全可量化与可治理，助力合规与可信交付。