Exportation d’une nomenclature logicielle pour votre dépôt

Vous pouvez exporter une nomenclature logicielle (ou nomenclature SBOM) pour votre dépôt à partir du graphe de dépendances. Les nomenclatures SBOM apportent de la transparence à votre utilisation de l’open source et aident à exposer les vulnérabilités de la chaîne logistique, réduisant ainsi les risques liés à celle-ci.

Qui peut utiliser cette fonctionnalité ?

Toute personne sur GitHub

Dans cet article

À propos des exportations de nomenclature SBOM et du graphe de dépendances

Le graphe des dépendances est un résumé des fichiers manifest et des fichiers de verrouillage dans un dépôt. Il contient également toutes les dépendances soumises pour le dépôt à l'aide de l'interface API de soumission de dépendances. Pour chaque dépôt, il affiche :

  • Dépendances, les écosystèmes et les packages dont il dépend
  • Les dépendants : les dépôts et packages qui en dépendent

Pour chaque dépendance, vous pouvez voir la version, les informations de licence, le fichier manifeste qui l’inclut, et si elle présente des vulnérabilités connues. Pour les écosystèmes de packages prenant en charge les dépendances transitives, l’état de la relation sera affiché et vous pourrez cliquer sur «  », puis sur « Afficher les chemins », pour voir le chemin transitif qui a introduit la dépendance.

Vous pouvez également rechercher une dépendance spécifique à partir de la barre de recherche. Les dépendances sont triées automatiquement, les packages vulnérables apparaissant en haut de la liste.

Vous pouvez exporter l’état actuel du graphe de dépendances pour votre dépôt sous la forme d’une nomenclature logicielle (SBOM) au format SPDX standard :

  • Via l’interface utilisateur de GitHub
  • En utilisant l’API REST

Une SBOM est un inventaire formel et lisible par machine des dépendances d’un projet et des informations associées (telles que les versions, les identifiants de package, les licences, les chemins transitifs pour les écosystèmes de packages prenant en charge l’étiquetage des dépendances transitives, et les informations de copyright). Les SBOMs aident à réduire les risques liés à la chaîne logistique en :

  • Fournir une transparence sur les dépendances utilisées par votre référentiel
  • Autoriser l’identification des vulnérabilités dans votre codebase
  • Fournir des insights sur les problèmes de conformité, de sécurité ou de qualité de la licence pouvant exister dans votre codebase
  • Vous permettre de mieux vous conformer aux différentes normes en matière de protection des données

Pour plus d’informations sur les écosystèmes prenant en charge l’étiquetage des dépendances transitives, consultez Écosystèmes de packages pris en charge pour le graphe des dépendances.

Si votre entreprise fournit des logiciels au gouvernement fédéral des États-Unis au titre du décret 14028, vous devez fournir une nomenclature SBOM pour votre produit. Vous pouvez également utiliser des nomenclatures SBOM dans le cadre de votre processus d’audit et les utiliser pour vous conformer aux exigences réglementaires et légales.

Remarque

Les dépendants ne sont pas inclus dans les SBOM.

Exportation d’une nomenclature logicielle pour votre dépôt à partir de l’interface utilisateur

  1. Sur GitHub, accédez à la page principale du référentiel.

  2. Sous le nom de votre référentiel, cliquez sur Insights.

    Capture d’écran de la page principale d’un dépôt. Dans la barre de navigation horizontale, un onglet, marqué d’une icône de graphique et du titre « Insights », est mis en évidence en orange.

  3. Dans la barre latérale à gauche, cliquez sur Graphe des dépendances.

  4. En haut à droite de l’onglet Dépendances, cliquez sur Exporter la nomenclature SBOM pour générer un fichier SBOM à télécharger à partir de votre navigateur.

Exportation d’une nomenclature logicielle pour votre dépôt avec l’API REST

Si vous souhaitez utiliser l’API REST pour exporter un SBOM pour votre référentiel, consultez « Points de terminaison d’API REST pour la nomenclature logicielle (SBOM). »

Génération d’une nomenclature logicielle à partir de GitHub Actions

Les actions suivantes génèrent une nomenclature SBOM pour votre dépôt et l’attachent en tant qu’artefact de workflow que vous pouvez télécharger et utiliser dans d’autres applications. Pour plus d’informations sur le téléchargement d’artefacts de workflow, consultez Téléchargement d’artefacts de workflow.

ActionDétails
SPDX Dependency Submission ActionUtilise l’outil SBOM de Microsoft pour créer des nomenclatures SBOM compatibles SPDX 2.2 avec des écosystèmes pris en charge
Action SBOM AnchoreUtilise Syft pour créer des nomenclatures SBOM compatibles SPDX 2.2 avec des écosystèmes pris en charge
SBOM Dependency Submission ActionCharge une nomenclature SBOM CycloneDX sur l’API API de soumission de dépendances