Vue d’ensemble
- Container Image Signature : signature cryptographique avec Cosign
- SPDX SBOM Attestation : nomenclature logicielle au format SPDX 2.3
- Vulnerability Scan Attestation : résultats de l’analyse des vulnérabilités au format SARIF Tous les artefacts sont signés avec la même clé privée et peuvent être vérifiés à l’aide de la clé publique correspondante.
Prérequis
cosign- pour la vérification des signatures et des attestationsjq- pour l’analyse et le traitement du JSONcurl- pour télécharger des artefacts (facultatif)
Vérification des signatures
Vérification de base
Lorsque la vérification TLS est désactivée
Vérification de l’attestation
Attestation SBOM SPDX
Attestation d’analyse des vulnérabilités
Récupération des données d’attestation
Télécharger le SPDX SBOM
Télécharger le rapport d’analyse des vulnérabilités
Analyse des données d’un SPDX SBOM
Informations générales sur le SBOM
Lister tous les packages
Identifier les packages présentant des vulnérabilités connues
Informations sur la License
Analyse des données issues de l’analyse des vulnérabilités
Informations de base sur le scan
Liste des vulnérabilités
Vulnérabilités à gravité élevée
Outils de visualisation de SBOM
Outils en ligne de commande
Utilitaire CycloneDX SBOM
Analyse personnalisée avec jq
Visualisation sur le Web
Visionneuse en ligne SBOM.sh
- Rendez-vous sur https://sbom.sh/
- Téléversez votre fichier
sbom.json - Explorez la visualisation interactive des composants et des dépendances
