So generieren Sie eine SBOM mit dem Open-Source-Tool von Microsoft

Shutterstock.com/Song_about_summer

Eine SBOM (Software Bill of Materials) hilft Ihnen, Ihre Software-Lieferkette zu verstehen, indem sie die Pakete und Anbieter auflistet, die Ihre Code stützt sich auf. SBOMs gewinnen schnell an Bedeutung, um die Sicherheit nach bekannten realen Lieferkettenangriffen zu verbessern.

Ein wichtiger Befürworter von SBOMs ist Microsoft, das seinen Ansatz für ihre Generation bereits im Oktober 2021 veröffentlicht hat. Anfang dieses Jahres hat das Unternehmen sein Tool zur Erstellung von SBOMs unter Windows, macOS und Linux als Open Source veröffentlicht.

In diesem Artikel erfahren Sie, wie Sie mit der Verwendung des Projekts beginnen, um die Abhängigkeiten Ihres Codes zu indizieren. Es erzeugt SPDX-kompatible Dokumente, die die Dateien, Pakete und Beziehungen innerhalb Ihres Projekts auflisten. SPDX (Software Package Data Exchange) ist der ISO-akzeptierte Standard für SBOMs, sodass Sie generierte Berichte direkt an andere Ökosystem-Tools übergeben können.

Microsoft kündigte das Projekt ursprünglich unter dem Namen Salus an. Seitdem hat man sich von diesem Begriff zurückgezogen, weil er im Konflikt mit dem bestehenden Salus-Code-Sicherheitsprojekt steht, das seinen Ursprung bei Coinbase hat. Der SBOM-Generator wird jetzt einfach als sbom-tool bezeichnet.

Erste Schritte

Sie können das SBOM-Tool aus dem GitHub-Repository von Microsoft herunterladen. Vorkompilierte Binärdateien sind auf der Releases-Seite verfügbar. Wählen Sie den richtigen Download für Ihr System aus, machen Sie dann die Binärdatei ausführbar und verschieben Sie sie an einen Ort in Ihrem Pfad.

Hier ist ein Beispiel für Linux:

$ wget https://github.com/microsoft/sbom-tool/releases/download/v<VERSION>/sbom-tool-linux-x64 $ chmod +x sbom-tool-linux-x64 $ mv sbom-tool-linux-x64 /usr/local /bin/sbom-tool

Sie sollten in der Lage sein, sbom-tool auszuführen, um die Hilfeinformationen in Ihrem Terminalfenster anzuzeigen:

$ sbom-tool Es wurde keine Aktion angegeben. Das Sbom-Tool generiert eine SBOM für jedes Build-Artefakt. Verwendung – Microsoft.Sbom.Tool <action> -options

Generieren einer SBOM

Neue SBOMs werden erstellt, indem der Unterbefehl “generate” des Tools ausgeführt wird. Einige Argumente müssen angegeben werden:

• -b (BuildDropPath) – Der Ordner zum Speichern der generierten SPDX-SBOM-Manifeste.
• -bc (BuildComponentPath) – Der Ordner, der nach Abhängigkeiten in Ihrem Projekt durchsucht wird.
• -nsb (NamespaceUriBase) – Der Basispfad, der als Namespace des SBOM-Manifests verwendet wird. Dies sollte eine URL sein, die Ihrer Organisation gehört, z. B. https://example.com/sbom.

SBOM-Tool muss auch Ihre Projekte kennen Name und Version. Dies kann häufig aus Dateien abgeleitet werden, die sich bereits in Ihrem Repository befinden, z. B. den Namens- und Versionsfeldern von package.json, aber Sie müssen die Informationen möglicherweise manuell bereitstellen oder in einigen Fällen die Standardwerte überschreiben. Fügen Sie dazu die Flags pn und pv hinzu:

• -pn (Paketname) – Der Name Ihres Projekts oder Pakets.
• -pv (PackageVersion) – Die Projektversion, die Sie scannen. Diese sollte mit der Release-Version übereinstimmen, die Ihrem SBOM beiliegt, damit Benutzer Abhängigkeitslisten mit bestimmten Builds korrelieren können.

Hier ist ein Beispiel für das Generieren eines SBOM für die Dateien in Ihrem Arbeitsverzeichnis. Die SBOM wird im Unterverzeichnis sbom-output abgelegt. Diese muss vorhanden sein, bevor Sie das Tool ausführen.

$ mkdir sbom-output $ sbom-tool generate -b sbom-output -bc . -pn example -pv 1.0 -nsb https://example.com/sbom

Eine Übersicht der Scan-Ergebnisse wird in Ihrem Terminal angezeigt:

[INFO] Aufgezählt 3728 Dateien und 607 Verzeichnisse in 00:00 :00.5938034 [INFO] |Komponentendetektor-ID |Erkennungszeit |# Komponenten gefunden |# explizit referenziert | … [INFO] |Npm |0,63 Sekunden |241 |0 | … [INFO] |Gesamt |0,64 Sekunden |241 |0 | [INFO] Erkennungszeit: 0,6374678 Sekunden.

Dieses Projekt verwendet npm, um seine Abhängigkeiten zu verwalten. Das Tool hat 241 Pakete in der Datei package.json des Arbeitsverzeichnisses erkannt.

SBOM Tool unterstützt derzeit 19 verschiedene Programmiersprachen und Paketformate. Die Liste umfasst npm, NuGet, PyPi, Maven, Rust Crates und Ruby Gems sowie Linux-Pakete, die in Docker-Images vorhanden sind. Verweise auf entfernte GitHub-Repositories werden ebenfalls unterstützt.

SBOM-Inhalte

Die generierte SBOM wird in _manifest/spdx_2.2/manifest.spdx.json innerhalb des von Ihnen angegebenen Build-Ausgabeverzeichnisses geschrieben. Die SBOM ist eine ziemlich ausführliche JSON-Datei, die von anderer Software verwendet werden soll.

{ "files": [], "packages": [ { "name": "color- convert", "SPDXID": "SPDXRef-Package-A72B0922E46D9828746F346D7FD11B7F81EDEB15B92BEEDAE087F5F7407FECDC", … }

Der Bericht enthält vier Haupttypen von Informationen:

• Die Dateien Abschnitt– Hier werden alle Dateien aufgelistet, die Quellcode enthalten, den Sie in Ihrem Projekt geschrieben haben. SBOM Tool füllt diesen Abschnitt nur aus, wenn bestimmte Projekttypen gescannt werden, z. B. C#-Lösungen.
• Der Paketabschnitt – Ein vollständiger Katalog aller Abhängigkeiten von Drittanbietern, die in Ihrem Projekt vorhanden sind, mit Verweisen auf deren Quellpaket-Manager, die verwendete Version und den anwendbaren Lizenztyp.
• Der Abschnitt “Beziehungen”

stark>– Darin sind alle Beziehungen zwischen den in der SBOM aufgeführten Komponenten aufgeführt. Die häufigste Beziehung, die Sie sehen werden, ist DEPENDS_ON, die ein Element im Abschnitt “Pakete” als eine der Abhängigkeiten Ihres Projekts deklariert. Es gibt auch mehrere andere Arten von Beziehungen, z. B. CREATED_BY, DEPENDENCY_OF und PATCH_FOR.

• Metadatendetails melden– Felder wie name, documentNamespace, spdxVersion und creationInfo identifizieren die SBOM, das zu ihrer Erstellung verwendete Tool und die anwendbare SPDX-Manifestrevision.