syft
1.15.0
أداة CLI ومكتبة Go لإنشاء قائمة مواد البرامج (SBOM) من صور الحاويات وأنظمة الملفات. استثنائي لاكتشاف الثغرات الأمنية عند استخدامه مع ماسح ضوئي مثل Grype.
Syft هي أداة مفتوحة المصدر قوية وسهلة الاستخدام لإنشاء قائمة مواد البرامج (SBOMs) لصور الحاويات وأنظمة الملفات. فهو يوفر رؤية تفصيلية للحزم والتبعيات في برنامجك، مما يساعدك على إدارة نقاط الضعف والامتثال للترخيص وأمن سلسلة توريد البرامج.
تطوير Syft برعاية Anchore، ويتم إصداره بموجب ترخيص Apache-2.0. للحصول على خيارات الدعم التجاري مع Syft أو Grype، يرجى الاتصال بـ Anchore.
يُنشئ SBOMs لصور الحاويات وأنظمة الملفات والمحفوظات والمزيد لاكتشاف الحزم والمكتبات
يدعم تنسيقات الصور OCI وDocker وSingularity
تحديد توزيع لينكس
يعمل بسلاسة مع Grype (أداة فحص الثغرات السريعة والحديثة)
قادر على إنشاء شهادات SBOM موقعة باستخدام المواصفات الشاملة
قم بالتحويل بين تنسيقات SBOM، مثل CycloneDX وSPDX وتنسيق Syft الخاص.
يتم توفير ثنائيات Syft لأنظمة Linux وmacOS وWindows.
حليقة -sSfL https://raw.githubusercontent.com/anchore/syft/main/install.sh | sh -s -- -b /usr/local/bin
تثبيت خيارات البرنامج النصي:
-b : حدد دليل التثبيت المخصص (الافتراضي هو ./bin )
-d : المزيد من مستويات التسجيل المطول ( -d للتصحيح، -dd للتتبع)
-v : التحقق من توقيع القطعة الأثرية التي تم تنزيلها قبل التثبيت (يتطلب تثبيت cosign )
الشراب تثبيت syft
مغرفة تثبيت syft
تتم صيانة توزيع الشوكولاتة لـ Syft بواسطة المجتمع ولا يتم توزيعها بواسطة فريق Anchore
شوكو تثبيت syft -y
ملحوظة : تتم صيانة عبوة Nix الخاصة بـ Syft بواسطة المجتمع. يتوفر Syft في القناة المستقرة منذ NixOS 22.05 .
لا شىء-env -i syft
... أو جربه فقط في غلاف لا شىء سريع الزوال:
لا شىء شل -p syft
لإنشاء SBOM لصورة الحاوية:
سيفت <الصورة>
يتضمن الإخراج أعلاه فقط البرنامج المرئي في الحاوية (أي التمثيل المضغوط للصورة). لتضمين برنامج من جميع طبقات الصورة في SBOM، بغض النظر عن وجوده في الصورة النهائية، قم بتوفير --scope all-layers :
syft- نطاق جميع الطبقات
تنسيق الإخراج لـ Syft قابل للتكوين أيضًا باستخدام الخيار -o (أو --output ) :
syft-o
حيث formats المتاحة هي:
syft-json : استخدم هذا للحصول على أكبر قدر ممكن من المعلومات من Syft!
syft-text : مخرجات موجهة نحو الصف، صديقة للإنسان والآلة.
cyclonedx-xml : تقرير XML يتوافق مع مواصفات CycloneDX 1.6.
[email protected] : تقرير XML مطابق لمواصفات CycloneDX 1.5.
cyclonedx-json : تقرير JSON يتوافق مع مواصفات CycloneDX 1.6.
[email protected] : تقرير JSON يتوافق مع مواصفات CycloneDX 1.5.
spdx-tag-value : تقرير منسق بقيمة العلامة يتوافق مع مواصفات SPDX 2.3.
[email protected] : تقرير بتنسيق قيمة العلامة يتوافق مع مواصفات SPDX 2.2.
spdx-json : تقرير JSON يتوافق مع مخطط SPDX 2.3 JSON.
[email protected] : تقرير JSON يتوافق مع مخطط SPDX 2.2 JSON.
github-json : تقرير JSON يتوافق مع تنسيق لقطة تبعية GitHub.
syft-table : ملخص عمودي (افتراضي).
template : يتيح للمستخدم تحديد تنسيق الإخراج. راجع "استخدام القوالب" أدناه.
لاحظ أنه يمكن استخدام العلامات التي تستخدم @ للإصدارات السابقة من كل مواصفات أيضًا.
جبال الألب (APK)
ج (كونان)
سي ++ (كونان)
دارت (الحانات)
ديبيان (dpkg)
الدوت نت (deps.json)
الهدف-C (كوكوابودس)
إكسير (مزيج)
إرلانج (حديد التسليح 3)
اذهب (go.mod، اذهب إلى الثنائيات)
هاسكل (كابال، كومة)
جافا (جرة، الأذن، الحرب، الاسمية، سار، نار، الصورة الأصلية)
جافا سكريبت (npm، الغزل)
ملحقات جنكينز (jpi، hpi)
أرشيفات نواة لينكس (vmlinz)
وحدات نواة لينكس (كو)
لا شىء (المخرجات في / لا شىء / مخزن)
بي إتش بي (مؤلف)
بايثون (عجلة، بيضة، شعر، متطلبات.txt)
القبعة الحمراء (دورة في الدقيقة)
روبي (جوهرة)
الصدأ (cargo.lock)
سويفت (cocoapods، مدير الحزم السريع)
ملحقات ووردبريس
يحتوي الويكي الخاص بنا على مزيد من التفاصيل حول المواضيع التالية:
المصادر المدعومة
اختيار الملف
باستثناء مسارات الملفات
تنسيقات الإخراج
اختيار كتالوج الحزمة
المفاهيم
أمثلة
استخدام القوالب
مخرجات متعددة
مصادقة السجل الخاص
بيانات اعتماد عامل ميناء المحلية
بيانات اعتماد عامل ميناء في Kubernetes
التصديق (التجريبي)
دعم بدون مفتاح
دعم المفتاح الخاص المحلي
إضافة SBOM إلى الصورة كشهادة باستخدام Syft
إعدادات
تحقق من دليل المساهمة ومستندات المطورين.
يعقد فريق Syft اجتماعات مجتمعية منتظمة عبر الإنترنت. مرحبا بالجميع للانضمام لطرح مواضيع للمناقشة.
تحقق من التقويم لمعرفة موعد الاجتماع التالي.
إضافة عناصر إلى جدول الأعمال (انضم إلى هذه المجموعة لتتمكن من الكتابة إلى جدول الأعمال)
نراكم هناك!
