了解 CycloneDX 文件的安全相关字段

问题描述 投票:0回答:0

基本上,标题。我有一个程序检查两个 cylconeDX SBOM 之间的安全相关更改,格式为 json。

我已经编写了一个应用程序来区分这两个 sbom,不过,我注意到有些字段在每次运行中都会发生变化,这些字段似乎与实际的组件变化无关,例如特定组件属性的 sha256 散列更改;例如:

"components":[
  {
    "bom-ref":"foo",
    "name": "bar",
    "cpe": "foobarCPE",
    "properties": [
      {
        "name":"syft:someLocation:idx:layerID", 
        "value":"sha256:some_sha_here"
      }
    ]
  },
  {
   "bom-ref":"{foobar}",
   ...
  }
]

如果我忽略 

[components][properties]
字段,是否有可能遗漏组件性质的相关变化?作为随从,我应该在这里考虑更少的信息吗?根据一些简单的阅读,CPE 的存在似乎是为了保证一种通用的方式来指示基线的重大变化,但我有点不清楚。

docker security package cicd devsecops
最新问题
© www.soinside.com 2019 - 2024. All rights reserved.