Skip to main content

Como exportar uma lista de materiais de software para seu repositório

Você pode exportar uma SBOM ou uma lista de materiais de software para seu repositório por meio do grafo de dependência. As SBOMs permitem transparência no seu uso de código aberto e ajudam a expor vulnerabilidades da cadeia de fornecedores, reduzindo os riscos da cadeia de fornecedores.

Quem pode usar esse recurso?

Anyone can export the dependency graph of a repository as a software bill of materials. The SBOM export will contain a list of the dependencies that are used in the repository.

Sobre as exportações de grafo de dependência e de SBOM

O grafo de dependência é um resumo dos arquivos de manifesto e de bloqueio armazenados em um repositório, além de outras dependências que sejam enviadas para o repositório ao usar a API de envio de dependência. Para cada repositório, ele mostra as dependências, os ecossistemas e os pacotes dos quais ele depende.

Para cada dependência, você pode ver as a gravidade da vulnerabilidade. Você também pode pesquisar uma dependência específica usando a barra de pesquisa. As dependências são classificadas automaticamente pela gravidade da vulnerabilidade.

O GitHub Enterprise Server não recupera informações de licença para dependências e não calcula informações sobre os dependentes, os repositórios e os pacotes que dependem de um repositório.

Exporte o estado atual do grafo de dependência para seu repositório como uma SBOM (lista de materiais de Software) usando o formato SPDX padrão do setor:

  • Por meio da interface do usuário de GitHub
  • Usando a API REST

Uma SBOM é um inventário formal e legível por computador das dependências e das informações associadas de um projeto (como versões e identificadores de pacotes). As SBOMs ajudam a reduzir os riscos da cadeia de fornecedores:

  • fornecendo transparência sobre as dependências usadas pelo repositório
  • permitindo que as vulnerabilidades sejam identificadas no início do processo
  • fornecendo insights sobre problemas de conformidade, segurança ou qualidade de licença que podem existir na base de código
  • permitindo que você cumpra melhor os vários padrões de proteção de dados

Se a sua empresa fornecer um software ao governo federal dos EUA nos termos da Ordem Executiva 14028, você precisará fornecer uma SBOM para seu produto. Use também as SBOMs como parte do processo de auditoria e para cumprir os requisitos regulatórios e legais.

Note

Dependentes não estão incluídos nas SBOMs.

Exportar uma lista de materiais de software para o repositório na interface do usuário

  1. No sua instância do GitHub Enterprise Server, navegue até a página principal do repositório.

  2. Abaixo do nome do repositório, clique em Insights.

    Captura de tela da página principal de um repositório. Na barra de navegação horizontal, uma guia, rotulada com um ícone de grafo e "Insights", é destacada em laranja escuro.

  3. Na barra lateral esquerda, clique em Grafo de dependência.

  4. No canto superior direito da guia Dependências, clique em Exportar SBOM para gerar um arquivo SBOM para download no navegador.

Exportar uma lista de materiais de software para o repositório usando a API REST

Se você quiser usar a API REST para exportar um SBOM para seu repositório, consulte "Pontos de extremidade da API REST para lista de materiais de software (SBOM)".