在周二的一个开发者博客中,微软 One Engineering System(1ES)产品主管 Danesh Kumar Badlani 与 1ES 首席项目主管 Adrian Diglio 隆重宣布了 Salus 软件物料清单(SBOM)生成工具的已经走向开源。据悉,为了 响应 国家 网络 安全 的 最新 行政 命令,它帮助组织建立对他们的供应链依赖关系的洞察力。
剪切(从:GitHub)
作为一款通用的、经过企业验证、构建时(build-time)的 SBOM 生成器,SBOM适用于包括Windows、Linux和Mac的平台,标准软件包数据交换(SPDX)格式也被使用。
Salus可以轻易地集成到软件建设工作流程中,它还通过组件检测到NPM、NuGet、PyPI、CocoaPods、Maven、Golang、Rust Crates、RubyGems、容器内Linux包、Gradle、Ivy和GitHub等公共平台的存储。
随着时间的推移,微软将继续改进SBOM工具并增加更多的测试组件。
分层构建流程示意图
由Salus生成的SBOM包含了基于SPDX规范的四个主要部件。
●文件创建信息:例如软件名称、SPDX版本/许可证、文件创建时间等。●文件部分:软件组成的文件列表,每个文件包含一些属性,以及SHA-1/SHA-256内容 Hash值。软件包部分:在构建软件时使用的软件包列表,每个包都有属性,如名称、版本、供应商、 Hash值、包URL(purl)、软件标识符等等。关系部分:SBOM的各个组成部分之间的关系列表,比如文件和包。
注意,Salus也可以引用其他SBOM文档来捕捉一个完整的依赖树。
Document Creation Information 示例代码
最后,微软希望通过广泛的协作与开放源代码社区合作,帮助每一个人遵循行政的指示。
开放源代码Salus是公司促进社区协作和创新的重要步骤,微软相信,这将使更多的组织能够从SBOM中获益,并对后续的长期发展作出积极贡献。