Software Bill of Materials für DevOps-Dateien SBOM werden hochgeladen

  • Freigeben Version: Xanadu
  • Aktualisiert 30. August 2024
  • 1 Minute Lesedauer

    • Generieren und laden Sie Software Bill of Materials SBOM -Dateien für Software während der Entwicklungszyklen für kontinuierliche Integration und kontinuierliche Bereitstellung hoch.

    SBOMs und Software-Entwicklungsvorgänge

    SBOM -Dateien können in mehreren Phasen während des gesamten Entwicklungslebenszyklus der kontinuierlichen Integration und kontinuierlichen Bereitstellung (CI/CD) von Software generiert werden. Die meisten Softwareentwicklungsvorgänge (DevOps) in Organisationen verwenden eine Art von CI/CD-Prozess, um kostspielige Fehler zu identifizieren und zu vermeiden, die nach dem Release auftreten könnten. In der gesamten CI/CD-Pipeline kann DevOps SBOM-Dateien generieren und proaktiv nach Schwachstellen und gefährdeten Komponenten suchen. Diese Prüfungen können Unternehmen dabei unterstützen, eine bessere Softwarequalität zu erreichen und später kostspielige Wartungsarbeiten zu vermeiden. Das Generieren von SBOM -Dateien ist für die erfolgreiche Implementierung und Automatisierung genauer Build-Bewertungen während der CI/CD-Entwicklung von entscheidender Bedeutung.

    Das Hochladen von SBOM-Dateien aus Entwicklungspipelines wird ab den folgenden Versionen der SBOM -Anwendungen unterstützt.

    Tabelle : 1. Unterstützte Versionen
    Anwendung Unterstützte Versionen
    Datenmodell für SBOM v2.0, v1.4
    SBOM Zentral v4.0, 3.0
    SBOM Antwort v3.2, 3.1

    Anwendungsfälle

    Durch das Generieren von SBOM -Dateien und Senden über die SBOM-Upload-API als Teil der DevOps-Build-Pipeline können Sie Zählungen für Folgendes bereitstellen, um zu bestimmen, ob die Pipeline erfolgreich sein oder fehlschlagen sollte:
    • Komponenten hinzugefügt
    • entfernte Komponenten
    • Informationen zu Schwachstellen
    • Paketinformationen (verworfene/veraltete Komponenten)

    DevOps-Richtlinien und -Regeln für den Erfolg oder Misserfolg einer Pipeline können durch die Anzahl der Schwachstellen sowie durch Schwellenwerte für die Anzahl veralteter und verworfener Komponenten definiert werden, die von der SBOM Status-API empfangen werden.

    Bei einer fehlgeschlagenen Pipeline können DevOps-Benutzer in ihrer Instanz ServiceNow® auf Informationen über den fehlgeschlagenen Build zugreifen, um die Ursache und den Ursprung der Schwachstellen besser zu verstehen.

    Unter Software Bill of Materials -Dateien werden mit einer REST-API hochgeladen finden Sie weitere Informationen zu Parametern (POST) und (GET) sowie zu URLs für die Upload- und Status-APIs.

    Domain Separation

    Alle Tabellen in den SBOM-Anwendungen sind domänengetrennt.