SBOM 工具是一款高度可扩展且适合企业使用的工具，可为任何类型的工件创建 SPDX 2.2 兼容的 SBOM。该工具使用组件检测库来检测组件，并使用ClearlyDefined API 来填充这些组件的许可证信息。

下载与安装

适用于 Windows、Linux、macOS 的可执行文件

我们在GitHub Releases页面中分发该工具的可执行文件和 SBOM 文件。您可以手动下载二进制文件或使用下面的命令来获取适合您平台的最新版本的工具。

请查看CLI 参考文档以获取有关 CLI 工具的其他帮助。

包管理器

WinGet

winget install Microsoft.SbomTool

自制

笔记
此公式需要x86_64架构，目前不支持 ARM。有关详细信息，请参阅#223。

brew install sbom-tool

说明书下载

Windows（PowerShell）

Invoke-WebRequest -Uri "https://github.com/microsoft/sbom-tool/releases/latest/download/sbom-tool-win-x64.exe" -OutFile "sbom-tool.exe"

Linux（卷曲）

curl -Lo sbom-tool https://github.com/microsoft/sbom-tool/releases/latest/download/sbom-tool-linux-x64
chmod +x sbom-tool

macOS（卷曲）

curl -Lo sbom-tool https://github.com/microsoft/sbom-tool/releases/latest/download/sbom-tool-osx-x64
chmod +x sbom-tool

将 SBOM 工具构建为 docker 镜像

克隆此存储库并构建 docker 映像。

git clone https://github.com/microsoft/sbom-tool
cd sbom-tool
docker build . -t ms_sbom_tool

然后，您可以通过使用 docker 绑定挂载挂载要扫描的目录来正常使用该工具。

SBOM .NET 工具

sbom-tool 还可以使用以下命令作为 .NET 工具安装：

dotnet tool install --global Microsoft.Sbom.DotNetTool

SBOM API NuGet 包

请将 Microsoft GitHub NuGet 包注册表添加到您的 nuget.config 并进行身份验证。然后Microsoft.Sbom.Api使用这些说明将包安装到您的项目中

请查看API 参考文档以获取有关 SBOM 工具 C# Api 的其他帮助。

运行该工具

SBOM生成

为操作系统安装命令行工具后，请使用以下命令运行该工具：

sbom-tool generate -b <drop path> -bc <build components path> -pn <package name> -pv <package version> -ps <package supplier> -nsb <namespace uri base>

放置路径是所有要发送的文件所在的文件夹。所有这些文件都将被散列并添加到 SBOM 的文件部分。构建组件路径通常是您的源文件夹，工具将扫描此文件夹以搜索 *.csproj 或 package.json 等项目文件，以查看使用哪些组件来构建包。该工具使用组件检测来扫描组件和依赖项，访问其 Github 页面以获取有关支持组件的更多信息。包名称和版本代表 SBOM 正在描述的包。

每个 SBOM 都有一个唯一的命名空间，用于唯一标识 SBOM，我们为 SBOM 内的命名空间字段生成一个唯一标识符，但是我们需要一个对整个组织通用的基本 URI。例如，-nsb参数的示例值可以是https://companyName.com/teamName，那么生成器将创建类似于 的命名空间https://companyName.com/teamName/<packageName>/<packageVersion>/<new-guid>。在此处阅读有关文档命名空间字段的更多信息。

可以在此处找到该工具的可用 CLI 参数的更详细列表

将 SBOM 工具集成到您的 CI/CD 管道中。

您可以按照这些指南将 SBOM 工具集成到 CI/CD 管道中

• 设置 GitHub Actions 以使用 SBOM 工具。
• 设置 Azure DevOps Pipelines 以使用 SBOM 工具。

遥测

默认情况下，遥测数据将输出到您的输出文件路径，并且将是一个 JSON blob。没有数据提交给 Microsoft。

相关

项目地址：

https://github.com/microsoft/sbom-tool