京東作爲openKylin(開放麒麟)社區理事單位,在加入社區後,京東發起成立了SBOM SIG組。SBOM SIG組負責推動和促進軟件物料清單(SBOM)的發展和工具建設。近日,SBOM工具已在openKylin社區完成開源,保障openKylin相關軟件供應鏈安全和可追溯性。
SBOM工具能解決哪些問題?
在當今軟件供應鏈日益複雜的環境下,軟件項目的管理和安全性成爲了一個關鍵問題。爲了幫助開發者們更好地管理和保證軟件項目的安全性和可追溯性,本次向大家介紹一款功能強大的命令行工具——SBOM-TOOL(Software Bill of Materials Tool)。
SBOM-TOOL是一款基於Go語言實現、無其他特殊依賴的開源項目,專門用於生成軟件項目的物料清單(SBOM),並具備易擴展、易使用的特性。它通過多維度信息採集,爲用戶提供全面而準確的軟件物料清單。
SBOM工具有哪些特性?
- 幫開發者全面掌握軟件的依賴情況
SBOM-TOOL能夠分析源代碼、二進制製品,爲項目提供完整的依賴信息,確保生成的物料清單儘可能詳盡,支持多種語言和多種包管理器的依賴採集,可以準確獲取工程構建的依賴組件信息。無論是使用Java、Python、JavaScript等語言,還是使用Maven、NPM、pip等包管理器,SBOM-TOOL都能夠輕鬆地採集依賴信息。
- 詳盡的源代碼指紋信息
- SBOM-TOOL通過採集源代碼的倉庫地址和版本信息,爲開發者提供了項目的完整源代碼信息,這有助於理解軟件的構成和歷史變更。
- SBOM-TOOL支持代碼指紋的生成,通過使用simhash算法,能夠爲代碼生成唯一標識,確保代碼的溯源和完整性。這使得開發者們能夠更加準確地追蹤代碼的來源和變更,從而提高軟件供應鏈的可信度。
- 深入的構建環境與依賴分析
SBOM-TOOL支持採集工程構建依賴環境信息,包括操作系統、內核、編譯器、構建工具等,爲項目提供全面的構建環境描述信息。這使得開發者們能夠更好地瞭解項目在不同環境下的依賴情況,進而更快解決問題
- 強大的擴展能力
- SBOM-TOOL提供了強大的SBOM文檔功能。它可以根據採集的SBOM片段組裝完整的SBOM文檔。同時,用戶也可以通過命令行方式編輯SBOM文檔內容,靈活地進行修改和定製。
- 支持規範格式轉換,包括XSPDX、SPDX等規範,以及JSON、TagValue等格式,滿足用戶對不同格式的需求。
- 作爲一個開源項目,SBOM-TOOL允許社區貢獻和定製,用戶可以根據自己的需求對其進行擴展,支持更多的編程語言、包管理器、SBOM文檔規範,以適應特定的工作流程和環境。
- 友好的安裝和使用體驗
安裝SBOM-TOOL非常便捷。您可以選擇源碼安裝,通過下載源碼並編譯的方式進行安裝。另外,SBOM-TOOL還提供了二進制安裝方式,您可以直接下載對應操作系統架構的二進制文件進行安裝。
SBOM-TOOL的使用也非常簡單。通過一條命令,您就可以生成完整而準確的SBOM文檔。以下是一個示例命令:
sbom-tool generate -m 4 -p ${project_path} -s ${src_path} -d ${dist_path} -o sbom.sp