为 Docker Image 生成 SBOM

11/30/2023 03:51:47 | China Standard Time

软件物料清单（SBOM）类似于装运的装箱单。它列出了构成软件或用于构建软件的所有组件。对于容器映像，这包括已安装的操作系统包（例如 ca-certificates）以及软件所依赖的特定语言包（例如 Log4j）。这一段干活时用到了 SBOM ，这篇文章将会介绍下 Docker SBOM 的用法。

前一段干活的时候有提到了一个什么叫 [`Cyber EO`](https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/) 的东西。美国政府对供应商提了一堆安全相关的条件，包括改进`网络安全漏洞`和`事件检测`还有巴拉巴拉一堆。

![](https://corehome.oss-accelerate.aliyuncs.com/blogs/31837b58-ca2f-4f84-9fcd-45377b6742cb.jpg)

讲人话就是做什么都要留底，包括用到的代码，依赖，等等巴拉巴拉一堆。然后产品发布前不允许有第三方篡改的可能，然后就了解到了 `Docker` 还有个叫 `SBOM` 的东西，需要保留 SBOM 用来以后做安全检查，扫描漏洞把（估计是），所以这篇文章简单记录下 Docker SBOM。

# 什么是 SBOM?

SBOM（Software Bill of Materials），称之为`软件物料清单`，是软件供应链中的术语。软件供应链是用于构建软件应用程序的组件、库和工具的列表，而物料清单则声明这些组件、库的清单，相似于食品的配料清单。软件物料清单能够帮忙组织或者集体`防止应用有安全漏洞`的软件。

> `docker sbom` 命令目前处于试验阶段，可能会在未来的版本中更改或删除。

此命令允许您生成容器映像的 SBOM。目前它通过 [`Syft`](https://github.com/anchore/syft) 来实现，但未来可能会从映像本身或其他地方读取 SBOM。

# Docker SBOM Cli

```bash
docker sbom <image>:<tag>
```

你可以通过此命令来输出 SBOM

```bash
$ docker sbom neo4j:4.4.5
Syft v0.43.0
 ✔ Loaded image
 ✔ Parsed image
 ✔ Cataloged packages      [385 packages]

NAME                      VERSION                        TYPE
... 
bsdutils                  1:2.36.1-8+deb11u1             deb
ca-certificates           20210119                       deb
...
log4j-api                 2.17.1                         java-archive  
log4j-core                2.17.1                         java-archive  
...
```

输出包括容器映像中应用程序使用的系统包和软件库。

# 格式化和保存

你可以使用 `--format` 选项将 SBOM 输出格式化为特定的格式（例如 [SPDX](https://spdx.dev/) 和 [CycloneDX](https://cyclonedx.org/)）

```bash
docker sbom --format spdx-json alpine:3.15
{
    "SPDXID": "SPDXRef-DOCUMENT",
    "name": "alpine-3.15",
    "spdxVersion": "SPDX-2.2",
    "creationInfo": {
        "created": "2022-04-06T21:13:32.035571Z",
        "creators": [
            "Organization: Anchore, Inc",
            "Tool: syft-[not provided]"
        ],
        "licenseListVersion": "3.16"
    },
    "dataLicense": "CC0-1.0",
    "documentNamespace": "https://anchore.com/syft/image/alpine-3.15-4b1b99d8-bbb5-4426-af8e-c510189134ab",
    "packages":[
        {
            "SPDXID": "SPDXRef-1e3f3285636676f3",
            "name": "alpine-baselayout",
            "licenseConcluded": "GPL-2.0-only",
            "description": "Alpine base dir structure and init scripts",
            "downloadLocation": "https://git.alpinelinux.org/cgit/aports/tree/main/alpine-baselayout",
            "externalRefs": [
            {
        ...
}
```

与默认的表格输出相比，这些输出更详细，包含的信息也更多。

默认情况下，该命令将 SBOM 输出到 stdout。您可以通过使用 `--output` 将输出保存到文件中。

```bash
$ docker sbom --format spdx-json --output sbom.json alpine:3.15
Syft v0.43.0
 ✔ Loaded image
 ✔ Parsed image
 ✔ Cataloged packages      [14 packages]

$ cat sbom.json
{
    "SPDXID": "SPDXRef-DOCUMENT",
    "name": "alpine-3.15",
    "spdxVersion": "SPDX-2.2",
    ...
}
```

# 仓库

你可以访问 Docker SBOM Cli 插件的 [Github](https://github.com/docker/sbom-cli-plugin) 仓库了解更多的信息。

TOP