软件物料清单

目录

物料清单 (BOM) 是制造产品所需材料、零件及其各自数量的列表。例如,计算机的 BOM 可能列出主板、CPU、RAM、电源、存储设备、机箱和其他组件,以及构建计算机所需的每种组件的数量。

软件物料清单 (SBOM) 是构成一段软件的所有组件的列表。这包括开源和第三方组件,以及为软件编写的任何自定义代码。SBOM 类似于物理产品的 BOM,但针对软件。

在软件供应链安全方面,SBOM 可以帮助识别和缓解软件中的安全和合规风险。通过准确了解软件中使用的组件,您可以快速识别并修补组件中的漏洞,或者确定组件的许可证是否与您的项目不兼容。

SBOM 的内容

SBOM 通常包括以下信息:

  • SBOM 描述的软件名称,例如库或框架的名称。
  • 软件版本。
  • 软件分发所依据的许可证。
  • 软件所依赖的其他组件列表。

Docker Scout 如何使用 SBOM

Docker Scout 使用 SBOM 来确定 Docker 镜像中使用的组件。当您分析镜像时,Docker Scout 将使用附加到镜像的 SBOM 作为证明,或者通过分析镜像内容即时生成 SBOM。

SBOM 与安全公告数据库交叉引用,以确定镜像中的任何组件是否存在已知漏洞。

证明 »
© . This site is unofficial and not affiliated with Kubernetes or Docker Inc.