Acerca del gráfico de dependencias y las exportaciones de SBOM
El gráfico de dependencias es un resumen de los archivos de manifiesto y de bloqueo almacenados en un repositorio y las dependencias que se envían para el repositorio mediante API de envío de dependencias. Para cada repositorio, muestra:
- Las dependencias, ecosistemas y paquetes de los cuales depende
- Dependientes, los repositorios y paquetes que dependen de él
Puedes ver la información de la licencia y la gravedad de la vulnerabilidad para cada dependencia. También puedes buscar una dependencia específica mediante la barra de búsqueda. Las dependencias se ordenan automáticamente por gravedad de la vulnerabilidad.
Puedes exportar el estado actual del gráfico de dependencias de tu repositorio como una lista de materiales de software (SBOM) con el formato SPDX estándar del sector:
- A través de la interfaz de usuario de GitHub
- Mediante la API de REST
Una lista de materiales de software (SBOM) es un inventario formal legible por máquina de las dependencias de un proyecto y la información asociada (como versiones, identificadores de paquete, licencias e información de derechos de autor). Las listas de materiales de software ayudan a reducir los riesgos de la cadena de suministros al:
- Proporcionar transparencia sobre las dependencias que usa el repositorio
- Permitir que las vulnerabilidades se identifiquen al principio del proceso
- Proporcionar información sobre el cumplimiento de las licencias, la seguridad o los problemas de calidad que puedan existir en el código base
- Permitirte cumplir mejor distintos estándares de protección de datos
Si tu empresa proporciona software al gobierno federal de los Estados Unidos de acuerdo con la Orden Ejecutiva 14028, deberás proporcionar una lista de materiales de software para tu producto. También puedes usar las listas de materiales de software como parte del proceso de auditoría y utilizarlas para cumplir con los requisitos normativos y legales.
Note
Los dependientes no se incluyen en SBOM.
Exportación de una lista de materiales de software para el repositorio desde la UI
-
En GitHub, navegue hasta la página principal del repositorio.
-
En el nombre del repositorio, haga clic en Información.
-
En la barra lateral izquierda, haga clic en Gráfico de dependencias.
-
En la parte superior derecha de la pestaña Dependencias, haz clic en Exportar SBOM para generar un archivo SBOM que se descargue del explorador.
Exportación de una lista de materiales de software para el repositorio con la API de REST
Si quieres usar la API de REST para exportar una SBOM para el repositorio, consulta «Puntos de conexión de la API de REST para la lista de materiales de software (SBOM)».