實時:微軟宣布開源SBOM軟件物料清單生成工具
在周二的一篇開發者博客中,微軟 One Engineering System(1ES)產品主管 Danesh Kumar Badlani 與 1ES 首席項目主管 Adrian Diglio 隆重宣布了 Salus 軟件物料清單(SBOM)生成工具的已經走向開源。據悉,作為響應改善國家網絡安全的一道行政命令的最新舉措,其有助于組織機構建立起對其供應鏈依賴關系的洞察力。
訪問:
阿里云“無影云電腦” 支持企業快速實現居家辦公
【資料圖】
訪問:
微軟中國官方商城 - 首頁
截圖(來自:GitHub)
作為一款通用的、經過企業驗證、構建時(build-time)的 SBOM 生成器,SBOM 適用于包括 Windows、Linux 和 Mac 在內的平臺,并且采用了標準的軟件包數據交換(SPDX)格式。
Salus 能夠輕松集成到軟件的構建工作流程中,并通過組件自動檢測 NPM、NuGet、PyPI、CocoaPods、Maven、Golang、Rust Crates、RubyGems、容器內的 Linux 包、Gradle、Ivy、以及 GitHub 等公共平臺上的存儲。
隨著時間的推移,微軟還會持續改進 SBOM 工具、并添加更多的檢測組件。
分層構建流程示意圖
Salus 生成的 SBOM,包含了基于 SPDX 規范的四個主要部分。
● 文檔創建信息:例如軟件名稱、SPDX 版本 / 許可證、文檔創建者、創建時間等。
● 文件部分:組成軟件的文件列表,每個文件都包含有一些屬性、以及 SHA-1 / SHA-256 內容哈希值。
● 包部分:構建軟件時使用的包列表,每個包都具有名稱、版本、供應商、哈希值、包 URL(purl)、軟件標識符等屬性。
● 關系部分:SBOM 不同元素之間的關系列表,比如文件和包。
值得一提的是,Salus 還可參考其他 SBOM 文檔來捕獲完整的依賴關系樹。
Document Creation Information 示例代碼
最后,微軟希望能夠通過與開源社區的通力協作,幫助所有人都能夠遵循行政命令的指導。
開源 Salus 是該公司在社區內促進協作和創新的重要一步,且微軟相信這可使更多組織能夠受益于 SBOM、并為后續的長期發展做出積極的貢獻。
推薦
-
-
-
-
-
-
-
聯電公司6月營收達248.26億元新臺幣 連續九個月創單月歷史新高
聯電今(6)日公布的財報顯示,該公司 6 月營收達248 26 億元新臺幣(約 56 11 億元人民幣),月增 ...
來源:愛集微 -
-
-
直播更多》
-
富士膠片宣布對其美國業務3.5億美元投資計劃 將用于產能擴展和產品研發
半導體材料廠商富士膠片(FUJIFILM)日前...
-
富士膠片宣布對其美國業務3.5億美元投資計劃 將用于產能擴展和產品研發
半導體材料廠商富士膠片(FUJIFILM)日前...
-
國家公路網最新規劃出爐 總規模約46.1萬公里
7月12日,國家發展改革委舉行專題新聞發...
-
鄉村治理盡在屏中 青海首個5G數字鄉村試點項目落戶寺爾溝村
詩仙李白有詩云:明月出天山,蒼茫云海...
-
馬斯克放棄收購推特 將讓華爾街銀行損失慘重
特斯拉首席執行官埃隆?馬斯克 (Elon ...
-
佛羅里達州男子轉售假冒思科設備被捕 涉案設備價值超10億美元
美國檢察官宣布逮捕一名來自佛羅里達州...