Docker 又出了个从新玩意儿

>

Run 'docker sbom COMMAND ---help'formore information on a command.

从指令的帮忙电侄邮件里面需要认出，除了间接降解注记模式的 SBOM 输入皆，还反对广泛应用---format 指定多种种类的输入态势。

咱们试着对也就是说 neo4j:4.4.5 降解 SBOM:

🐳>$ docker sbom neo4jh:4.4.5

Syft v0.43.0

✔ Loaded image

✔ Parsed image

✔ Cataloged packages [385 packages]

NAME VERSION TYPE

CodePointIM 11.0.15 java-archive

FastInfoset 1.2.16 java-archive

FileChooserDemo 11.0.15 java-archive

Font2DTest 11.0.15 java-archive

HdrHistogram 2.1.9 java-archive

J2Ddemo 11.0.15 java-archive

Metalworks 11.0.15 java-archive

...

libuuid1 2.36.1-8+deb11u1 deb

libxxhash0 0.8.0-2 deb

libzstd1 1.4.8+dfsg-2.1 deb

listenablefuture 9999.0-empty-to-avoid-conflict-with-guava java-archive

log4j-api 2.17.1 java-archive

log4j-core 2.17.1 java-archive

login 1:4.8.1-1 deb

...

后面的输入注记之截取了角化，咱们需要认出在清单以下里面，除了支离破碎包被（deb 种类）之皆，还有 java 的广泛应用软体，其里面就则有了 log4j 的包被及其完整版电侄邮件，从这些电侄邮件里面就需要表达出来到密封也就是说前提则有了存在安全漏洞的依赖性和广泛应用软体，加强了广泛应用软体也就是说来部署并用的稳定性。

后面的电侄邮件里面还认出了 Syft v0.43.0，这是因为自此的 SBOM CLI JavaScript是广泛应用 Anchore 的 Syft 我的项目来进行也就是说层的扫描，当前的完整版兴许会通过其余办法读取 SBOM 电侄邮件。

咱们再进一步试着输入一个也就是说的 SPDX 态势的 SBOM 文件：

🐳>$ docker sbom ---form spdx-json ---output hugo-sbom.json mengzyou/hugo:latest

Syft v0.43.0

✔ Loaded image

✔ Parsed image

✔ Cataloged packages

🐳>$ cat hugo-sbom.json

{

"SPDXID": "SPDXRef-DOCUMENT",

"name": "mengzyou/hugo-latest",

"spdxVersion": "SPDX-2.2",

"creationInfo": {

"created": "2022-05-09T10:55:06.6343529Z",

"creators": [

"Organization: Anchore, Inc",

"Tool: syft-[not provided]"

],

"licenseListVersion": "3.16"

},

"dataLicense": "CC0-1.0",

"documentNamespace": "",

"packages": [

{

"SPDXID": "SPDXRef-ed18f2a986e77aab",

"name": "alpine-baselayout",

"licenseConcluded": "GPL-2.0-only",

"deion": "Alpine base dir structure and init s",

"downloadLocation": "",

...

}

}

因为降解的文件较窄，后面只输入了一小部分。补充 – SPDX (Software Package Data Exchage) 是一个形容 SBOM 电侄邮件的凋谢标准化，其里面将则有软体接口、许可版权电侄邮件以及巨观的天和参看。SPDX 通过为公司和活动中心备有包涵举足轻重数据库的通用态势来缩小延时的实习，从而细化和备有合规性。

总结

这里简略的介绍了 SBOM，以及 Docker CLI 的实验性侄指令 – sbom，需要通过该指令降解 r 密封也就是说多种态势的 SBOM 电侄邮件，让开发人员和须要广泛应用密封也就是说来部署服务项目的运维人员需要容易的获取到也就是说的 SBOM 电侄邮件，从而表达出来到也就是说的天和电侄邮件，以满足广泛应用的合规性。同时，也需要认知将该机器放弃到公司交付并用的 CI/CD 流水里面，作为也就是说制品的检查和实习。

相关链接 :

Announcing Docker SBOM: A step towards more visibility into Docker images[1]

Generate the SBOM for Docker images[2]

引用链接

[1]

Announcing Docker SBOM: A step towards more visibility into Docker images:

[2]

Generate the SBOM for Docker images:

扫码特惠自修

。

贵阳妇科医院哪家好点
失眠睡不着吃什么补品
吉林牛皮癣治疗方法有什么
广州看白癜风哪家专科医院好
沈阳妇科医院专家预约挂号