Sobre as exportações de grafo de dependência e de SBOM
O grafo de dependência é um resumo dos arquivos de manifesto e de bloqueio armazenados em um repositório, além de outras dependências que sejam enviadas para o repositório ao usar a API de envio de dependência. Para cada repositório, ele mostra:
- As dependências, os ecossistemas e os pacotes do qual depende
- Os dependentes, os repositórios e os pacotes que dependem dele
Para cada dependência, você pode ver as informações de licença e a gravidade da vulnerabilidade. Você também pode pesquisar uma dependência específica usando a barra de pesquisa. As dependências são classificadas automaticamente pela gravidade da vulnerabilidade.
Exporte o estado atual do grafo de dependência para seu repositório como uma SBOM (lista de materiais de Software) usando o formato SPDX padrão do setor:
- Por meio da interface do usuário de GitHub
- Usando a API REST
Uma SBOM é um inventário formal e legível por computador das dependências e das informações associadas de um projeto (como versões, identificadores de pacotes, licenças e informações de direitos autorais). As SBOMs ajudam a reduzir os riscos da cadeia de fornecedores:
- fornecendo transparência sobre as dependências usadas pelo repositório
- permitindo que as vulnerabilidades sejam identificadas no início do processo
- fornecendo insights sobre problemas de conformidade, segurança ou qualidade de licença que podem existir na base de código
- permitindo que você cumpra melhor os vários padrões de proteção de dados
Se a sua empresa fornecer um software ao governo federal dos EUA nos termos da Ordem Executiva 14028, você precisará fornecer uma SBOM para seu produto. Use também as SBOMs como parte do processo de auditoria e para cumprir os requisitos regulatórios e legais.
Note
Dependentes não estão incluídos nas SBOMs.
Exportar uma lista de materiais de software para o repositório na interface do usuário
-
Em GitHub, acesse a página principal do repositório.
-
Abaixo do nome do repositório, clique em Insights.
-
Na barra lateral esquerda, clique em Grafo de dependência.
-
No canto superior direito da guia Dependências, clique em Exportar SBOM para gerar um arquivo SBOM para download no navegador.
Exportar uma lista de materiais de software para o repositório usando a API REST
Se você quiser usar a API REST para exportar um SBOM para seu repositório, consulte "Pontos de extremidade da API REST para lista de materiais de software (SBOM)".