튜토리얼: SBOM 형식으로 종속성 목록 내보내기

SBOM 형식으로 프로젝트 종속성의 소프트웨어 자재 명세서(SBOM)를 CycloneDX 형식으로 생성하고 CI/CD 아티팩트로 저장하는 방법을 알아봅니다.

종속성 스캔 출력을 CycloneDX JSON 형식으로 내보낼 수 있습니다. 이 튜토리얼에서는 pipeline에 대한 CycloneDX JSON SBOM을 생성한 다음 CI job 아티팩트로 업로드하는 방법을 보여줍니다. 시작하기 전에 # 종속성 스캔을 설정하세요. 자세한 지침은 종속성 스캔 튜토리얼 을 따르세요. 구성 파일 만들기 # api 범위와 Developer 역할로 개인 액세스 토큰을 만드세요. PRIVATE_TOKEN 이라는 이름의 CI/CD 변수로 토큰 값을 추가하세요. 다음 코드로 스니펫 을 만드세요. 파일 이름: export.sh # ! /bin/sh function create_export { curl --silent \ --header "PRIVATE-TOKEN: $PRIVATE_TOKEN" \ -X 'POST' --data "export_type=sbom" \ "https://gitlab.com/api/v4/pipelines/$CI_PIPELINE_ID/depe