vantage-packager erstellt werden.
Überblick
- Container-Image-Signatur: Kryptografische Signatur mit Cosign
- SPDX SBOM-Attestierung: Software Bill of Materials im SPDX-2.3-Format
- Attestierung des Schwachstellen-Scans: Ergebnisse des Sicherheitsscans im SARIF-Format Alle Artefakte werden mit demselben privaten Schlüssel signiert und können mit dem entsprechenden öffentlichen Schlüssel verifiziert werden.
Voraussetzungen
cosign– für die Verifizierung von Signaturen und Attestierungenjq– für das Parsen und Analysieren von JSONcurl– zum Herunterladen von Artefakten (optional)
Signaturverifizierung
Grundlegende Verifizierung
Mit deaktivierter TLS-Prüfung
Verifizierung der Attestierung
SPDX SBOM-Attestierung
Attestierung des Schwachstellen-Scans
Attestierungsdaten abrufen
SPDX SBOM herunterladen
Ergebnisse des Schwachstellen-Scans herunterladen
Analyse von SPDX-SBOM-Daten
Grundlegende Informationen zur SBOM
Alle Pakete auflisten
Pakete mit bekannten Sicherheitslücken finden
Lizenzinformationen
Daten eines Schwachstellen-Scans analysieren
Grundlegende Scan-Informationen
Auflisten von Schwachstellen
Schwachstellen mit hohem Schweregrad
Tools zur SBOM-Visualisierung
CLI-Werkzeuge
CycloneDX-SBOM-Dienstprogramm
Benutzerdefinierte Analyse mit jq
Webbasierte Visualisierung
SBOM.sh-Online-Viewer
- Rufen Sie https://sbom.sh/ auf.
- Laden Sie Ihre Datei
sbom.jsonhoch. - Erkunden Sie die interaktive Visualisierung von Komponenten und Abhängigkeiten.
