周二,在一篇开发者博客中,微软One工程系统(1ES)产品总监Danesh Kumar Badlani和1ES首席项目总监Adrian Diglio郑重宣布,Salus软件物料清单(SBOM)生成工具已经开源。据悉,作为响应改善国家 络安全的一道行政命令的最新举措,其有助于组织机构建立起对其供应链依赖关系的洞察力。
截图(来自:GitHub)
作为一个通用的、经过企业验证的构建时SBOM生成器,SBOM适用于包括Windows、Linux和Mac在内的平台,并采用标准软件包数据交换(SPDX)格式。
Salus可以轻松集成到软件构建工作流程中,通过组件自动检测NPM、NuGet、PyPI、CocoaPods、Maven、Golang、Rust Crates、RubyGems、容器中的Linux包、Gradle、Ivy、GitHub等公共平台上的存储。
随着时间的推移,微软将继续改进SBOM工具,并添加更多的检测组件。
分层施工流程示意图
Salus生成的SBOM包含基于SPDX规范的四个主要部分。
文档创建信息:如软件名称、SPDX版本/许可证、文档创建者、创建时间等。
文件部分:组成软件的文件列表。每个文件包含一些属性和SHA-1/SHA-256散列值。
包部分:构建软件时使用的包的列表。每个包都有属性,如名称、版本、供应商、散列值、包URL(purl)、软件标识符等。
关系部分:SBOM不同元素之间的关系列表,如文件和包。
值得一提的是,Salus还可以参考其他SBOM文档来获取完整的依赖树。
文档创建信息示例代码
最后,微软希望通过与开源 区的合作,帮助大家遵循行政命令的指导。
开源Salus是公司推动 区协作和创新的重要一步,微软相信这将使更多组织受益于SBOM,并为后续的长期发展做出积极贡献。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!