Después de los recientes ataques a la cadena de suministro y con una automatización de seguridad cada vez mayor, especialmente la gestión de inventario de software se vuelve cada vez más importante.

Los gobiernos y otras industrias reguladas ahora exigen la publicación de una lista de materiales de software (SBOM) para los productos de software.

Varios formatos SBOM han aparecido en el mercado.
SUSE ha comenzado a publicar SBOM en los dos tipos de formatos más utilizados por los proveedores de sistemas operativos, SPDX 2.0 y CycloneDX.

SPDX 2.0 incluso se ha estandarizado en ISO/ICE 5962:2021.

Para medios de productos de SUSE Linux Enterprise

Para los medios de nuestros productos (imágenes ISO), los materiales SBOM están disponibles en nuestro sitio web de descargas en formato SPDX 2.0 y CycloneDX.

La granularidad de estos datos se encuentra actualmente en el nivel de RPM.

Para imágenes de contenedor BCI de SUSE Linux Enterprise

Los datos de SBOM se entregan en el blob de atestación de sigstore en formato SPDX 2.0.

Se supone que los datos se procesan automáticamente, pero también es posible la recuperación manual, debido a los manifiestos de contenedores de múltiples arcos, es una operación de dos pasos.

Llamada de ejemplo usando la herramienta "grúa" externa para extraer la parte del contenedor x86_64, la herramienta "aval" para recuperar y verificar la atestación y la
herramienta "jq" para extraer los datos SBOM de SPDX 2.0.

crane digest --platform linux/amd64 registry.suse.com/suse/sle15:15.4

Resultado de ejemplo:sha256:c8aeb5a7662c38716d303fb854c5baa2329afccb4637c0f3c7c44b971181fdbb

Luego ejecute esto en esta línea de comando:

cosign verify-attestation --type spdxjson --key /usr/share/pki/containers/suse-container-key.pem registry.suse.com/suse/sle15@sha256:c8aeb5a7662c38716d303fb854c5baa2329afccb4637c0f3c7c44b971181fdbb | jq '.payload | @base64d | fromjson | .predicate'