Генерация SBOM при помощи Trivy Всем привет! В статье описан | DevSecOps Talks
Генерация SBOM при помощи Trivy
Всем привет!
В статье описано, как можно генерировать SBOM при помощи Trivy. В начале приводится общая информация о том, что это такое, о форматах (SPDX/CycloneDX) и их отличиях.
Далее всего несколько команд, чтобы можно было:
Получить перечень пакетов: trivy -q image --ignore-unfixed --format json --list-all-pkgs %imagename%
Сделать из нее SBOM: trivy -q image --format cyclonedx %imagename%
В одной из последних версий процедуру еще больше упростили, добавив команду sbom (рекомендуем обновиться, если она отсутствует).
На текущий момент времени Trivy позволяет генерировать SBOM только в формате CycloneDX.
Отдельно рекомендуем изучить trivy sbom --help. Можно найти много интересного, например, --artifact-type, который позволяет создавать SBOM для image, fs, repo и archive или --severity, который позволит контролировать уязвимости, попадающие в выборку