#从扫描的镜像生成 SBOM

Alauda 容器安全性使您能够从扫描的容器镜像生成软件材料清单（SBOM）。此功能提供了应用程序中软件组件、依赖关系和库的详细概述，帮助组织定位易受攻击的软件包并遵守安全要求。

#什么是 SBOM？

软件材料清单（SBOM）是列出软件组件及其来源的数字记录。SBOM 帮助组织：

• 识别易受攻击的软件包和组件的存在
• 快速响应以减轻风险
• 遵守如 行政命令 14028 等法规

SBOM 可以通过不同方式生成。Alauda 容器安全性生成的 SBOM 是“分析型”SBOM，通过分析可执行文件、软件包、容器和虚拟机镜像等工件创建。根据 CISA 的说法，分析型 SBOM：

• 提供信息而无需活跃的开发环境
• 可以在没有访问构建过程的情况下生成
• 帮助发现隐藏的依赖关系

Alauda 容器安全性生成的 SBOM 采用 系统软件包数据交换（SPDX）2.3 格式。

#如何生成 SBOM

您可以使用 Alauda 容器安全性门户、roxctl CLI 或 API 生成 SBOM。

#使用门户

1. 转到 漏洞管理 > 结果 并找到您想要的镜像。
2. 执行以下操作之一：
   • 在镜像行中，单击溢出菜单并选择 生成 SBOM。
   • 选择镜像以查看详细信息，然后单击 生成 SBOM。
3. 将显示有关镜像和 SBOM 格式的信息窗口。单击 生成 SBOM 以创建 JSON 格式的文件。根据您的浏览器设置，文件将自动下载。

#使用 roxctl CLI

运行以下命令：

roxctl image sbom --image=image-name

将 image-name 替换为镜像的名称和引用（例如，nginx:latest 或 nginx@sha256:...）。

#CLI 选项