← retour aux snippets

syft: générer un SBOM pour une image ou un dossier

Créer un inventaire des dépendances (SPDX/CycloneDX) d'une image ou d'un FS.

bash supplychain #syft#sbom#spdx

objectif

Connaître précisément les composants d’un artefact pour conformité et sécurité.

code minimal

syft registry.data.pm/app/api:1.2.3 -o cyclonedx-json > sbom.json

utilisation

# dir local
syft dir:. -o spdx-json > sbom.json

variante(s) utile(s)

# signer le SBOM
cosign sign-blob --key cosign.key sbom.json

notes

  • intégrez en CI pour garder l’historique.
  • combinez avec trivy pour scanner les vulnérabilités.