发布于 : Mar 29, 2022
不在本期内容中
这一条目不在当前版本的技术雷达中。如果它出现在最近几期中,那么它很有可能仍然具有相关参考价值。如果这一条目出现在更早的雷达中,那么它很有可能已经不再具有相关性,我们的评估将不再适用于当下。很遗憾我们没有足够的带宽来持续评估以往的雷达内容。
了解更多
Mar 2022
试验
使用软件物料清单(SBOM) 是改善“供应链安全”的关键要素之一,因此在发布软件构件的同时,发布相应的 SBOM 正变得越来越重要。Syft 是一个致力于为容器镜像和文件系统生成 SBOM 的 CLI 工具和 Go 语言库。它可以生成包括 JSON, CycloneDX 和 SPDX 在内的多种格式的 SBOM。Syft 输出的 SBOM 可以被 Grype 用于漏洞扫描。使用Cosign 将 SBOM 添加为证明文件,可以将生成的 SBOM 和镜像一起发布。这使得镜像的消费者可以对 SBOM 进行验证,并将其用于后续的分析。