Docker 出了个新玩意：软件物料清单

原文：

https://www.cnblogs.com/pengpengboshi/p/16251545.html

在上个月公布的 Docker Desktop v4.7.0 中，减少了一个新的 CLI 插件-docker/sbom-cli-plugin，其为 Docker CLI 减少了一个子命令 – ，用于查看 Docker 容器镜像的软件物料清单（SBOM)。

什么是 SBOM？

首先介绍下什么是 SBOM（Software Bill of Materials），咱们称之为软件物料清单，是软件供应链中的术语。软件供应链是用于构建软件应用程序（软件产品）的组件、库和工具的列表，而物料清单则声明这些组件、库的清单，相似于食品的配料清单。软件物料清单能够帮忙组织或者集体防止应用有安全漏洞的软件。

DOCKER SBOM 命令

留神: 从 Docker Desktop 4.7.0 版本开始到当初， 命令还是实验性的，该性能兴许会在当前版本中删除和更改，以后 Linux 的 Docker CLI 还未蕴含该子命令。

命令用于生产一个容器镜像的软件物料清单（SBOM）

从命令的帮忙信息中能够看到，除了间接生成表格模式的 SBOM 输入外，还反对应用–format 指定多种类型的输入格局。

咱们尝试对镜像 生成 SBOM:

下面的输入表格之截取了局部，咱们能够看到在清单列表中，除了零碎包（deb 类型）之外，还有 java 的软件包，其中就蕴含了 log4j 的包及其版本信息，从这些信息中就能够理解到容器镜像是否蕴含了存在安全漏洞的依赖和软件包，加强了应用软件镜像来部署利用的安全性。

下面的信息中还看到了 Syft v0.43.0，这是因为以后的 SBOM CLI 插件是应用 Anchore 的 Syft 我的项目来进行镜像层的扫描，当前的版本兴许会通过其余办法读取 SBOM 信息。

咱们再尝试输入一个镜像的 SPDX 格局的 SBOM 文件：

因为生成的文件较长，下面只输入了一小部分。补充 – SPDX (Software Package Data Exchage) 是一个形容 SBOM 信息的凋谢规范，其中将蕴含软件组件、许可版权信息以及相干的平安参考。SPDX 通过为公司和 区提供共享重要数据的通用格局来缩小冗余的工作，从而简化和提供合规性。

总结

这里简略的介绍了 SBOM，以及 Docker CLI 的试验性子命令 – sbom，能够通过该命令生成 r 容器镜像多种格局的 SBOM 信息，让开发人员和须要应用容器镜像来部署服务的运维人员能够容易的获取到镜像的 SBOM 信息，从而理解到镜像的平安信息，以满足应用的合规性。同时，也能够思考将该工具退出到公司交付利用的 CI/CD 流水中，作为镜像制品的安全检查工作。

相关链接 :

Announcing Docker SBOM: A step towards more visibility into Docker images[1]

Generate the SBOM for Docker images[2]

引用链接

[1]

Announcing Docker SBOM: A step towards more visibility into Docker images:https://www.docker.com/blog/announcing-docker-sbom-a-step-towards-more-visibility-into-docker-images/

[2]

Generate the SBOM for Docker images:https://docs.docker.com/engine/sbom/

– END –