基本上,标题。我有一个程序检查两个 cylconeDX SBOM 之间的安全相关更改,格式为 json。
我已经编写了一个应用程序来区分这两个 sbom,不过,我注意到有些字段在每次运行中都会发生变化,这些字段似乎与实际的组件变化无关,例如特定组件属性的 sha256 散列更改;例如:
"components":[
{
"bom-ref":"foo",
"name": "bar",
"cpe": "foobarCPE",
"properties": [
{
"name":"syft:someLocation:idx:layerID",
"value":"sha256:some_sha_here"
}
]
},
{
"bom-ref":"{foobar}",
...
}
]
如果我忽略
[components][properties]
字段,是否有可能遗漏组件性质的相关变化?作为随从,我应该在这里考虑更少的信息吗?根据一些简单的阅读,CPE 的存在似乎是为了保证一种通用的方式来指示基线的重大变化,但我有点不清楚。