리포지토리에 대한 소프트웨어 자료 청구서 내보내기

종속성 그래프 리포지토리에 대한 소프트웨어 자료 청구서 또는 SBOM을 내보낼 수 있습니다. SBOM은 오픈 소스 사용에 대한 투명도를 허용하고 공급망 취약성을 노출하여 공급망 위험을 줄이는 데 도움이 됩니다.

누가 이 기능을 사용할 수 있나요?

GitHub의 모든 사용자

이 문서의 내용

종속성 그래프 및 SBOM 내보내기 정보

종속성 그래프는 리포지토리에 저장된 매니페스트 및 잠금 파일과 종속성 제출 API을(를) 사용하여 리포지토리에 대해 제출된 모든 종속성을 요약한 것입니다. 각 리포지토리에 대해 다음이 표시됩니다.

  • 리포지토리가 의존하는 종속성, 에코시스템 및 패키지
  • 리포지토리에 의존하는 종속 항목, 리포지토리 및 패키지

각 종속성에 대해 버전라이선스 정보, 포함된 매니페스트 파일 및 알려진 취약성이 있는지를 확인할 수 있습니다. 전이적 종속성을 지원하는 패키지 에코시스템의 경우 관계 상태가 표시되고 공개 단추 ... 는 종속성을 공개 단추에 가져온 전이적 경로를 표시합니다. 전이적 종속성 지원에 대한 자세한 내용은 종속성 그래프에서 지원되는 패키지 에코시스템을(를) 참조하세요.

검색 표시줄을 사용하여 특정 종속성을 검색할 수도 있습니다. 종속성은 취약성을 맨 위에 두고 자동으로 정렬됩니다.

업계 표준 SPDX 형식을 사용하여 리포지토리에 대한 종속성 그래프의 현재 상태를 소프트웨어 자료 청구서(SBOM)로 내보낼 수 있습니다.

  • GitHub UI 이용
  • REST API 사용

SBOM은 프로젝트의 종속성과 관련 정보(예: 버전, 패키지 식별자, 라이선스, 전이적 종속성 레이블링을 지원하는 패키지 생태계의 전이 경로, 저작권 정보)에 대한 공식적인 기계 판독 가능 인벤토리입니다. SBOM은 다음을 통해 공급망 위험을 줄이는 데 도움이 됩니다.

  • 리포지토리에서 사용하는 종속성에 대한 투명성 제공
  • 코드베이스 전체에서 취약성을 식별할 수 있도록 허용
  • 코드베이스에 있을 수 있는 라이선스 규정 준수, 보안 또는 품질 문제에 대한 인사이트 제공
  • 다양한 데이터 보호 표준을 더 잘 준수할 수 있도록 지원

전이적 종속성 레이블 지정을 지원하는 에코시스템에 대한 자세한 내용은 종속성 그래프에서 지원되는 패키지 에코시스템을(를) 참조하세요.

회사에서 행정 명령 14028에 따라 미국 연방 정부에 소프트웨어를 제공하는 경우 해당 제품에 대한 SBOM을 제공해야 합니다. 감사 프로세스의 일부로 SBOM을 사용하고 이를 사용하여 규정 및 법적 요구 사항을 준수할 수도 있습니다.

Note

종속 항목은 SBOM에 포함되지 않습니다.

UI에서 리포지토리에 대한 소프트웨어 자료 청구서 내보내기

  1. GitHub에서 리포지토리의 기본 페이지로 이동합니다.

  2. 리포지토리 이름 아래에서 인사이트를 클릭합니다.

    리포지토리의 기본 페이지 스크린샷. 수평 탐색 모음에서 그래프 아이콘과 "Insights" 레이블이 있는 탭이 주황색 윤곽선으로 표시됩니다.

  3. 왼쪽 사이드바에서 종속성 그래프를 클릭합니다.

  4. 종속성 탭 오른쪽 위에서 SBOM 내보내기를 클릭하여 브라우저에서 다운로드할 SBOM 파일을 생성합니다.

REST API를 사용하여 리포지토리에 대한 소프트웨어 자료 청구서 내보내기

REST API를 사용하여 리포지토리에 대한 SBOM을 내보내려면 SBOM(소프트웨어 자료 청구서)에 대한 REST API 엔드포인트을(를) 참조하세요.