도커 SBOM

몇 달 전 Docker는 이미지의 패키징 목록을 표시하는 docker sbom라는 실험적 명령을 발표했습니다. 이 블로그 기사에서는 sbom, docker sbom 등에 대해 자세히 살펴보겠습니다.

SBOM이란 무엇입니까?



SBOM(Software Bill of Materials)은 소프트웨어 공급망과 관련하여 자주 듣거나 읽는 용어입니다. SBOM은 소프트웨어 패키지, 콘텐츠, 라이선스 정보, 저작권 등에 대한 메타데이터를 보유합니다. SBOM을 패키지의 구성 요소 목록 또는 인벤토리로 생각하십시오.

냉동 라자냐용 샘플 라벨

SBOM은 소프트웨어 공급망에 투명성과 보안을 제공합니다.

도커 SBOM



Docker SBOM은 Docker에서 사용할 수 있는 실험적 기능입니다. 터미널을 실행하고 문제docker sbom <image>:<tag>를 실행합니다. 기본적으로 출력은 아래와 같이 테이블 형식입니다.

도커 SBOM

CycloneDX 및 SPDX 형식으로 SBOM을 인쇄하려면 각각 아래 명령을 실행하십시오.
# SPDX JSON
docker sbom --format spdx-json qainsights/jpetstore:latest

# CycloneDX JSON
docker sbom --format cyclonedx-json qainsights/jpetstore:latest

출력을 파일에 저장하려면 아래 명령을 실행하십시오.
docker sbom --format spdx-json --output sbom.json qainsights/jpetstore

어떻게 작동합니까?



SBOM을 생성하려면 도커가 이미지를 스캔해야 합니다. 현재는 Syft을 사용하여 스캔을 수행합니다. 프로세스는 향후 변경될 수 있습니다.

Syft는 SBOM을 생성하는 Go 기반 CLI 도구입니다.
syft qainsights/jpetstore

플러그인으로 설치



SBOM을 플러그인으로 설치하려면 docker-sbom을 설치하는 아래 명령을 실행하십시오.
curl -sSfL https://raw.githubusercontent.com/docker/sbom-cli-plugin/main/install.sh | sh -s --

마지막 생각들



Docker SBOM은 아직 초기 단계입니다. 그러나 컨테이너화 또는 DevOps 작업을 사용하는 경우 docker sbom을 사용하면 단일 명령을 사용하여 패키지 콘텐츠, 종속성 등을 생성할 수 있습니다.

좋은 웹페이지 즐겨찾기