KubeClarity 是一种用于检测和管理软件物料清单 (SBOM) 以及容器映像和文件系统漏洞的工具。它扫描运行时 K8s 集群和 CI/CD 管道,以增强软件供应链的安全性。
SBOM 和漏洞检测挑战
有效的漏洞扫描需要准确的软件物料清单 (SBOM) 检测:
各种编程语言和包管理器
各种操作系统发行版
包依赖信息通常在构建时被剥离
哪一款是最好的扫描仪/SBOM 分析仪?
我们应该扫描什么:Git 存储库、构建、容器映像或运行时?
每个扫描仪/分析仪都有自己的格式 - 如何比较结果?
如何管理已发现的 SBOM 和漏洞?
我的应用程序如何受到新发现的漏洞的影响?
解决方案
将漏洞扫描分为两个阶段:
生成 SBOM 的内容分析
扫描 SBOM 以查找漏洞
创建可插拔基础架构以:
并行运行多个内容分析器
并行运行多个漏洞扫描程序
使用 KubeClarity CLI 在不同 CI 阶段之间扫描和合并结果
运行时 K8s 扫描以检测部署后发现的漏洞
在定义的应用程序下对扫描的资源(图像/目录)进行分组,以导航对象树依赖项(应用程序、资源、包、漏洞)
2022-06-15 18:04:22
3.86MB
环己酮-戈莫德
cyclonedx-gomod从Go模块创建CycloneDX软件物料清单(SBOM)
安装
预构建的二进制文件在页面上可用。
从来源
go install github.com/CycloneDX/cyclonedx-gomod@latest
从源代码构建需要Go 1.16或更高版本。
兼容性
cyclonedx-gomod将为的最新版本的CycloneDX规范生成BOM。 您可以使用在多种BOM格式或规范版本之间进行转换。
用法
Usage of cyclonedx-gomod:
-json
Output in JSON format
-module string
Path to Go module (default ".")
-noserial
Omit serial number
-novprefix
2022-05-19 14:15:52
48KB
1
CycloneDX Maven插件
CycloneDX Maven插件创建项目的所有直接和传递依赖项的集合,并创建有效的CycloneDX SBOM。 CycloneDX是一种轻量级的软件物料清单(SBOM)规范,旨在用于应用程序安全上下文和供应链组件分析。
Maven用法
<!-- uses default configuration -->
org.cyclonedx
cyclonedx-maven-plugin
2.2.0
默认值
org.cyclonedx
cyclonedx-maven-plugin</ artif
2021-12-23 14:52:37
25KB
1