Day 30 - SBOM 工具 - syft

Syft

可以用来产生容器 (container image) 与档案系统 (file system) 的软件物料清单 (SBOM) CLI 工具。

安装

以 MacOS 为例 [1]

brew tap anchore/syft [2]
brew install syft

下 syft version 确认一下安装的资讯

使用方式

以扫描对象为 container image 为例，敲以下指令

syft <image> -o <format>

其中 <format> 可以支援以下格式

• table (预设的)
• json
• text
• cyclonedx (CycloneDX 1.2 规范认可的报表，是 XML 格式)

预设格式 table ，印出来就是一张三个栏位的简单表格，有套件的名称、套件版本与类型。

前一天提到 Cyclonedx ，是其中一种 NTIA 认可的 SBOM 格式，印出来看一下：

可以把工具整合至 CI 里，配合 release 就可以产生报表啦！

後记

以前上网查找资料的时候，总觉得要连续三十天每天都要产出文章这件事情超级不可思议。

天阿！三十篇！我也写完了～虽然对这个国家社会产业可能没什麽用，至少对自己来说，利用这样一个活动来学习真的很棒！

感谢推坑的长官与队友，还是要有团队比较有趣！

[1] A CLI tool and go library for generating a Software Bill of Materials

[2] brew tap 就是告诉 brew 指令 要到其他的 repository ( 以这个例子来说就是 anchore/syft ) 下载要安装的套件