Exporting a software bill of materials for your repository

You can export a software bill of materials or SBOM for your repository from the dependency graph. SBOMs allow transparency into your open source usage and help expose supply chain vulnerabilities, reducing supply chain risks.

누가 이 기능을 사용할 수 있나요?

GitHub의 모든 사용자

이 문서의 내용

About the dependency graph and SBOM exports

종속성 그래프는 리포지토리에 저장된 매니페스트 및 잠금 파일과 종속성 제출 API을(를) 사용하여 리포지토리에 대해 제출된 모든 종속성을 요약한 것입니다. 각 리포지토리에 대해 다음이 표시됩니다.

  • 리포지토리가 의존하는 종속성, 에코시스템 및 패키지
  • 리포지토리에 의존하는 종속 항목, 리포지토리 및 패키지

각 종속성에 대해 버전라이선스 정보, 포함된 매니페스트 파일 및 알려진 취약성이 있는지를 확인할 수 있습니다. 전이적 종속성을 지원하는 패키지 생태계의 경우 관계 상태가 표시되고 ""를 클릭한 다음, "Show paths"를 클릭하면 종속성을 가져온 전이적 경로를 확인할 수 있습니다.

검색 표시줄을 사용하여 특정 종속성을 검색할 수도 있습니다. 종속성은 취약한 패키지가 맨 위에 오도록 자동으로 정렬됩니다.

You can export the current state of the dependency graph for your repository as a Software Bill of Materials (SBOM) using the industry standard SPDX format:

  • Via the GitHub UI
  • Using the REST API

SBOM은 프로젝트의 종속성과 관련 정보(예: 버전, 패키지 식별자, 라이선스, 전이적 종속성 레이블링을 지원하는 패키지 생태계의 전이 경로, 저작권 정보)에 대한 공식적인 기계 판독 가능 인벤토리입니다. SBOM은 다음을 통해 공급망 위험을 줄이는 데 도움이 됩니다.

  • 리포지토리에서 사용하는 종속성에 대한 투명성 제공
  • 코드베이스 전체에서 취약성을 식별할 수 있도록 허용
  • 코드베이스에 있을 수 있는 라이선스 규정 준수, 보안 또는 품질 문제에 대한 인사이트 제공
  • 다양한 데이터 보호 표준을 더 잘 준수할 수 있도록 지원

전이적 종속성 레이블 지정을 지원하는 에코시스템에 대한 자세한 내용은 종속성 그래프에서 지원되는 패키지 에코시스템을(를) 참조하세요.

If your company provides software to the US federal government per Executive Order 14028, you will need to provide an SBOM for your product. You can also use SBOMs as part of your audit process and use them to comply with regulatory and legal requirements.

참고 항목

Dependents are not included in SBOMs.

Exporting a software bill of materials for your repository from the UI

  1. GitHub에서 리포지토리의 기본 페이지로 이동합니다.

  2. 리포지토리 이름 아래에서 인사이트를 클릭합니다.

    리포지토리의 기본 페이지 스크린샷. 수평 탐색 모음에서 그래프 아이콘과 "Insights" 레이블이 있는 탭이 주황색 윤곽선으로 표시됩니다.

  3. In the left sidebar, click Dependency graph.

  4. On the top right side of the Dependencies tab, click Export SBOM to generate an SBOM file for download from your browser.

Exporting a software bill of materials for your repository using the REST API

If you want to use the REST API to export an SBOM for your repository, see SBOM(소프트웨어 자료 청구서)에 대한 REST API 엔드포인트.

Generating a software bill of materials from GitHub Actions

The following actions will generate an SBOM for your repository and attach it as a workflow artifact which you can download and use in other applications. For more information about downloading workflow artifacts, see 워크플로 아티팩트 다운로드.

ActionDetails
SPDX Dependency Submission ActionUses Microsoft's SBOM Tool to create SPDX 2.2 compatible SBOMs with the supported ecosystems
Anchore SBOM ActionUses Syft to create SPDX 2.2 compatible SBOMs with the supported ecosystems
SBOM Dependency Submission ActionUploads a CycloneDX SBOM to the 종속성 제출 API