Publicado : Mar 29, 2022
NÃO ENTROU NA EDIÇÃO ATUAL
Este blip não está na edição atual do Radar. Se esteve em uma das últimas edições, é provável que ainda seja relevante. Se o blip for mais antigo, pode não ser mais relevante e nossa avaliação pode ser diferente hoje. Infelizmente, não conseguimos revisar continuamente todos os blips de edições anteriores do Radar.
Saiba mais
Mar 2022
Experimente
Um dos elementos-chave para melhorar a "segurança da cadeia de fornecimento" é usar uma lista de materiais de software (SBOM). Por isso, publicar uma SBOM junto com o artefato de software é cada vez mais importante. Syft é uma ferramenta CLI e biblioteca Go para gerar SBOMs a partir de imagens de contêiner e sistemas de arquivos. A SBOM pode ser gerada em vários formatos, incluindo JSON, CycloneDX e SPDX. A saída SBOM do Syft pode ser usada pelo Grype para verificação de vulnerabilidades. Uma forma de publicar a SBOM gerada junto com a imagem é adicioná-la como um atestado usando Cosign. Isso permite que os consumidores da imagem verifiquem a SBOM e a usem para análise adicional.
