版本升级 | OpenSCA v1.0.8 版本发布 支持生成 SPDX 格式的软件物料清单
近日,OpenSCA新版本v1.0.8正式发布,重磅功能持续更新,满足用户更多需求。 V1.0.8 更新内容 支持生成SPDX格式的软件物料清单 2. 构建详细软件物料清单,透明化供应链软件资产 2.1 软件物料清单介绍 软件物料清单(SBOM,Software Bills of Materials)是描述软件包依赖树的一系列元数据,包括供应商名称、组件名称、版本号、许可证信息、依赖关系等关键信息,通过这些关键信息来构建详细的物料清单,帮助企业或团队梳理并透明化软件供应链资产。目前业界主流的生成SBOM的格式有软件包数据交换 (SPDX)、软件标识 (SWID)标记和OWASP CycloneDX等。 OpenSCA本版本支持的SPDX是由Linux基金会运营的一项国际公认的软件物料清单开放标准(ISO/IEC 5962:2021)。SPDX通过梳理与软件相关的组件、许可证、版权和安全相关数据等元数据,来提高许可证合规性、供应链的透明度和安全性。 2.2 为什么需要SBOM 梳理、透明化软件资产 组件漏洞风险、许可证风险管控治理 提高软件供应链安全性,防止软件供应链攻击 2.3 使用O...
