Informationen zum Abhängigkeitsdiagramm und zu SBOM-Exporten
Das Abhängigkeitsdiagramm ist eine Zusammenfassung von Manifest- und gesperrten Dateien, die in einem Repository gespeichert sind, und aller mithilfe der Abhängigkeitsübermittlungs-API für das Repository übermittelten Abhängigkeiten. Für jedes Repository wird Folgendes angezeigt Abhängigkeiten, also die Ökosysteme und Pakete, von denen es abhängig ist.
Für jede Abhängigkeit kannst du die Version, die Manifestdatei, die diese enthielt, und die Antwort auf die Frage anzeigen, ob es bekannte Sicherheitsrisiken gibt. Für Paketökosysteme, die transitive Abhängigkeiten unterstützen, wird der Beziehungsstatus angezeigt, und du kannst auf „“ und dann auf „Show paths“ klicken, um den transitiven Pfad anzuzeigen, der die Abhängigkeit eingeführt hat.
Du kannst auch über die Suchleiste nach einer bestimmten Abhängigkeit suchen. Abhängigkeiten werden automatisch so sortiert, dass Sicherheitsrisiken oben stehen.
GitHub ruft keine Lizenzinformationen für Abhängigkeiten ab und berechnet keine Informationen über Abhängigkeiten, Repositorys und Pakete, die von einem Repository abhängen.
Du kannst den aktuellen Zustand des Abhängigkeitsdiagramms für dein Repository als Softwarestückliste im branchenüblichen SPDX-Format exportieren:
- Über die GitHub-Benutzeroberfläche
- Verwenden der REST-API
Eine SBOM stellt ein formales, maschinenlesbares Inventar der Abhängigkeiten und zugehörigen Informationen eines Projekts dar (z. B. Versionen und Paketbezeichner). SBOMs tragen folgendermaßen dazu bei, die Lieferkettenrisiken zu verringern:
- Transparenz über die von deinem Repository verwendeten Abhängigkeiten
- Zulassen, dass Sicherheitsrisiken codebasisübergreifend identifiziert werden
- Einblicke in die Lizenzkonformität, Sicherheit oder Qualitätsprobleme, die in deiner Codebasis bestehen können
- Bessere Einhaltung verschiedener Datenschutzstandards
Wenn dein Unternehmen der US-Regierung Software gemäß Durchführungsverordnung 14028 zur Verfügung stellt, musst du eine SBOM für dein Produkt bereitstellen. Du kannst SBOMs auch als Teil deines Überwachungsprozesses und zur Einhaltung rechtlicher und gesetzlicher Anforderungen verwenden.
Hinweis
Abhängige Objekte sind nicht in SBOMs enthalten.
Exportieren einer Software-Stückliste für Ihr Repository über die Benutzeroberfläche
-
Navigieren Sie auf GitHub zur Hauptseite des Repositorys.
-
Klicke unter dem Namen deines Repositorys auf die Option -Erkenntnisse.
-
Klicke auf der linken Randleiste auf Abhängigkeitsdiagramm.
-
Klicke oben rechts auf der Registerkarte Abhängigkeiten auf SBOM exportieren, um eine SBOM-Datei zum Herunterladen aus deinem Browser zu generieren.
Exportieren einer Softwarestückliste für Ihr Repository über die REST-API
Wenn du mithilfe der REST-API eine SBOM für dein Repository exportieren möchtest, finden du weitere Informationen unter REST-API-Endpunkte für Software-Stückliste (SBOM).
Generieren einer Softwareabrechnung von Materialien aus GitHub Actions
Die folgenden Aktionen generieren eine SBOM für dein Repository und fügen es als Workflowartefakt an, das du herunterladen und in anderen Anwendungen verwenden kannst. Weitere Informationen zum Herunterladen von Workflowartefakten findest du unter Herunterladen von Workflowartefakten.
| Aktion | Details |
|---|---|
| SPDX-Abhängigkeitsübermittlungsaktion | Verwendet das SBOM-Tool von Microsoft, um SPDX 2.2-kompatible SBOMs mit den unterstützten Ökosystemen zu erstellen |
| Anchore SBOM Action | Verwendet Syft, um SPDX 2.2-kompatible SBOMs mit den unterstützten Ökosystemen zu erstellen |
| SBOM-Abhängigkeitsübermittlungsaktion | Lädt eine CycloneDX SBOM in die Abhängigkeitsübermittlungs-API hoch |