概要
- コンテナーイメージ署名: Cosign を使用した暗号学的署名
- SPDX SBOMアテステーション: SPDX 2.3 形式のソフトウェア部品表
- 脆弱性スキャンアテステーション: SARIF 形式のセキュリティスキャン結果 すべてのアーティファクトは同じ秘密鍵で署名されており、対応する公開鍵を使用して検証できます。
前提条件
cosign- 署名およびアテステーションの検証用jq- JSON のパースと解析用curl- アーティファクトのダウンロード用 (任意)
署名の検証
基本的な検証
TLS検証を無効にする場合
アテステーションの検証
SPDX SBOM アテステーション
脆弱性スキャンアテステーション
アテステーションデータの取得
SPDX SBOM をダウンロード
脆弱性スキャンをダウンロード
SPDX SBOM データの分析
SBOMの基本情報
すべてのパッケージを一覧表示
既知の脆弱性があるパッケージを特定する
License 情報
脆弱性スキャンデータの分析
スキャンの基本情報
脆弱性の一覧
深刻度の高い脆弱性
SBOM可視化ツール
CLI ツール
CycloneDX SBOM Utility
jq を使ったカスタム解析
Web上での可視化
SBOM.sh オンラインビューアー
- https://sbom.sh/ にアクセスします
sbom.jsonファイルをアップロードします- コンポーネントと依存関係をインタラクティブに可視化して確認します
