0

0

Linux syft 的 CycloneDX / SPDX 输出与供应链安全报告生成

冷炫風刃

冷炫風刃

发布时间:2026-02-22 20:40:03

|

885人浏览过

|

来源于php中文网

原创

syft生成cyclonedx和spdx的关键区别在于:cyclonedx需显式指定版本(如-o cyclonedx-json@1.5)以确保含bomformat/specversion字段;spdx默认输出2.3 json,spdx-yaml会静默降级为json,且licenseconcluded恒为noassertion。

linux syft 的 cyclonedx / spdx 输出与供应链安全报告生成

syft 生成 CycloneDX 和 SPDX 的命令区别在哪

syft 默认输出是 table 格式,不带 SBOM 元数据;要生成合规的 CycloneDX 或 SPDX,必须显式指定输出格式和 schema 版本,否则下游工具(比如 Dependency-Track、Syft CLI 自身的 --output)会报错或解析失败。

  • syft <strong>your-image</strong> -o cyclonedx 输出 CycloneDX v1.4 JSON(默认),但不含 bomFormat / specVersion 字段时可能被某些解析器拒收
  • syft <strong>your-image</strong> -o cyclonedx-json@1.5 才能生成符合 CycloneDX 1.5 规范的 JSON(含完整元数据)
  • syft <strong>your-image</strong> -o spdx-json 输出 SPDX 2.3 JSON,但注意:syft 当前(v1.9+)不支持 SPDX 2.2 YAML,spdx-yaml 会静默退化为 JSON
  • 若用 -o spdx-tag-value,输出的是 SPDX 2.3 tag-value 格式,人类可读但机器解析兼容性弱于 JSON

CycloneDX 输出里 missing bom-refcomponents 为空

常见于扫描容器镜像时未指定 registry 凭据,或镜像层被缓存但未触发完整解包;syft 会跳过无法访问的 layer,导致组件列表为空,但不报错,只输出空 components: []

  • 先确认是否能拉取镜像:docker pull <strong>your-image</strong>podman pull <strong>your-image</strong>
  • 若用私有 registry,必须传 --registry-auth-file ~/.docker/config.json(注意路径权限,syft 不读 $HOME/.docker/config.json 自动)
  • --scope all-layers 强制扫描所有层(默认只扫最上层),尤其对 multi-stage 构建的镜像有效
  • 检查输出是否含 "bomFormat": "CycloneDX""specVersion": "1.5" —— 缺任一字段都说明格式未真正生效

SPDX 输出中 licenseConcluded 总是 NOASSERTION

syft 不做许可证推断,只基于文件级声明(如 package.jsonsetup.pygo.mod)提取已知字段;没有显式声明的地方一律填 NOASSERTION,这是 SPDX 规范要求,不是 bug。

星绘
星绘

豆包旗下 AI 写真、P 图、换装和视频生成

下载
  • Go 项目需确保 go.mod 里有 //go:license MIT 注释(syft 支持该约定),否则 go 模块 license 为空
  • Python 包依赖的 license 来自 pip show <strong>pkg</strong> 输出,若 PyPI 元数据缺失(如未填 classifiers),syft 就拿不到
  • 不要指望 syft 从 LICENSE 文件内容反向识别 license 类型 —— 它不做 NLP 或正则匹配,只查结构化元数据
  • 如需更准的 license 信息,得在生成 SBOM 后用 syft <strong>image</strong> | grype - 补充漏洞上下文,但 license 本身不会变

把 syft 输出喂给供应链安全平台时校验失败

Dependency-Track、FOSSA 等平台对 CycloneDX/SPDX 的 schema 严格校验,syft 默认输出可能缺必要字段(如 serialNumbermetadata.timestamp),导致上传后被拒绝。

  • --file bom.cdx.json 并配合 -o cyclonedx-json@1.5,syft 会自动补全 serialNumber(UUIDv4)和 metadata
  • SPDX 必须含 "SPDXID": "SPDXRef-DOCUMENT""documentNamespace" —— syft 生成时会自动设,但若重定向到文件再手动编辑,容易删掉
  • 避免用 syft ... | jq '.' > bom.json 管道处理,jq 可能破坏 UTF-8 BOM 或换行符,某些平台校验失败就卡在这
  • 上传前用官方校验器快速过一遍:curl -s https://github.com/CycloneDX/cyclonedx-cli/releases/download/v0.34.0/cyclonedx-cli_0.34.0_linux_amd64.tar.gz | tar -xz && ./cyclonedx-cli validate -i bom.cdx.json

SBOM 不是“生成了就完事”,CycloneDX 和 SPDX 的每个字段都有语义约束;syft 做得足够轻量,但也意味着它不会替你猜意图——参数写错一位、schema 版本漏一个 @ 符号、registry 凭据路径少个点,结果就是下游平台报错却找不到源头。盯着输出里的 bomFormatspecVersion 多看两眼,比反复重跑快得多。

热门AI工具

更多
DeepSeek
DeepSeek

幻方量化公司旗下的开源大模型平台

豆包大模型
豆包大模型

字节跳动自主研发的一系列大型语言模型

通义千问
通义千问

阿里巴巴推出的全能AI助手

腾讯元宝
腾讯元宝

腾讯混元平台推出的AI助手

文心一言
文心一言

文心一言是百度开发的AI聊天机器人,通过对话可以生成各种形式的内容。

讯飞写作
讯飞写作

基于讯飞星火大模型的AI写作工具,可以快速生成新闻稿件、品宣文案、工作总结、心得体会等各种文文稿

即梦AI
即梦AI

一站式AI创作平台,免费AI图片和视频生成。

ChatGPT
ChatGPT

最最强大的AI聊天机器人程序,ChatGPT不单是聊天机器人,还能进行撰写邮件、视频脚本、文案、翻译、代码等任务。

相关专题

更多
json数据格式
json数据格式

JSON是一种轻量级的数据交换格式。本专题为大家带来json数据格式相关文章,帮助大家解决问题。

443

2023.08.07

json是什么
json是什么

JSON是一种轻量级的数据交换格式,具有简洁、易读、跨平台和语言的特点,JSON数据是通过键值对的方式进行组织,其中键是字符串,值可以是字符串、数值、布尔值、数组、对象或者null,在Web开发、数据交换和配置文件等方面得到广泛应用。本专题为大家提供json相关的文章、下载、课程内容,供大家免费下载体验。

544

2023.08.23

jquery怎么操作json
jquery怎么操作json

操作的方法有:1、“$.parseJSON(jsonString)”2、“$.getJSON(url, data, success)”;3、“$.each(obj, callback)”;4、“$.ajax()”。更多jquery怎么操作json的详细内容,可以访问本专题下面的文章。

322

2023.10.13

go语言处理json数据方法
go语言处理json数据方法

本专题整合了go语言中处理json数据方法,阅读专题下面的文章了解更多详细内容。

81

2025.09.10

pip安装使用方法
pip安装使用方法

安装步骤:1、确保Python已经正确安装在您的计算机上;2、下载“get-pip.py”脚本;3、按下Win + R键,然后输入cmd并按下Enter键来打开命令行窗口;4、在命令行窗口中,使用cd命令切换到“get-pip.py”所在的目录;5、执行安装命令;6、验证安装结果即可。大家可以访问本专题下的文章,了解pip安装使用方法的更多内容。

351

2023.10.09

更新pip版本
更新pip版本

更新pip版本方法有使用pip自身更新、使用操作系统自带的包管理工具、使用python包管理工具、手动安装最新版本。想了解更多相关的内容,请阅读专题下面的文章。

426

2024.12.20

pip设置清华源
pip设置清华源

设置方法:1、打开终端或命令提示符窗口;2、运行“touch ~/.pip/pip.conf”命令创建一个名为pip的配置文件;3、打开pip.conf文件,然后添加“[global];index-url = https://pypi.tuna.tsinghua.edu.cn/simple”内容,这将把pip的镜像源设置为清华大学的镜像源;4、保存并关闭文件即可。

789

2024.12.23

python升级pip
python升级pip

本专题整合了python升级pip相关教程,阅读下面的文章了解更多详细内容。

362

2025.07.23

pixiv网页版官网登录与阅读指南_pixiv官网直达入口与在线访问方法
pixiv网页版官网登录与阅读指南_pixiv官网直达入口与在线访问方法

本专题系统整理pixiv网页版官网入口及登录访问方式,涵盖官网登录页面直达路径、在线阅读入口及快速进入方法说明,帮助用户高效找到pixiv官方网站,实现便捷、安全的网页端浏览与账号登录体验。

1030

2026.02.13

热门下载

更多
网站特效
/
网站源码
/
网站素材
/
前端模板

精品课程

更多
相关推荐
/
热门推荐
/
最新课程
PostgreSQL 教程
PostgreSQL 教程

共48课时 | 9.5万人学习

Git 教程
Git 教程

共21课时 | 3.8万人学习

关于我们 免责申明 举报中心 意见反馈 讲师合作 广告合作 最新更新
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
PHP中文网订阅号
每天精选资源文章推送

Copyright 2014-2026 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号