#SBOM
apko - 基于apk包构建高效可重现的OCI容器镜像
apkoOCI镜像构建容器镜像SBOMAlpine LinuxGithub开源项目
apko是一款基于apk包的OCI容器镜像构建工具,具有完全可重现、构建迅速和生成镜像小巧等特点。该工具支持生成软件物料清单(SBOM),并可通过s6监督套件运行多进程。apko采用声明式配置文件定义镜像内容,确保镜像的可重现性和安全性。这使其成为频繁重建镜像场景下的理想选择,能够有效构建安全高效的容器镜像。
tern - 容器镜像软件物料清单生成工具
TernSBOM容器软件包检查DockerGithub开源项目
Tern是一款开源的容器镜像检查工具,用于生成软件物料清单(SBOM)。通过逐层分析容器镜像,Tern收集操作系统和软件包的元数据,生成详细报告。支持多种输出格式如人类可读、JSON和HTML,有助于深入了解容器内容、进行合规性检查和安全分析。Tern适用于容器开发者、DevOps工程师及关注容器内容的技术人员。
syft - 开源SBOM生成工具 提升软件供应链透明度
SBOMSyft容器镜像软件依赖开源工具Github开源项目
Syft是一款开源的命令行工具和Go语言库,用于生成软件物料清单(SBOM)。它可分析容器镜像和文件系统,支持CycloneDX、SPDX等多种输出格式,能识别多种编程语言的包和依赖。Syft与Grype漏洞扫描器配合使用,可提供全面的软件成分分析和漏洞检测功能,有助于提高软件供应链的透明度和安全性。