git检测环境：工具支持自动识别软件构件

git检测环境：工具支持自动识别软件构件SBOM 在整个 IT 组织中激增可能还需要一段时间，但眼前的问题只是找到创建它们的最不具侵入性的方法。然而，收集 SBOM 只是一个更大挑战的第一部分。然后，组织需要获得分析 SBOM 的工具，并向应用程序开发人员提供反馈。实际上，组织最终将能够根据用于创建软件的组件来接受或拒绝软件。有了这些见解，开发人员就可以选择升级软件组件，使应用程序符合组织定义的任何策略。GitBOM 还可以在运行时检测每个可能受到影响的软件构件中的潜在漏洞，无论其深度如何，以使 IT 团队更容易修复问题。这种方法使得查找(例如)应用程序环境中可能存在的 Log4j 漏洞的每个实例变得更加简单。GitBOM 只包含创建指纹所需的最少信息，以便能够对已知脆弱的工件进行有效的运行时扫描。Shamrell-Harrington 说，目标不是取代 SBOM 工具，而是让它们更容易以对开发人员来说可能的最无摩擦的方式收集工

本周在欧洲开源峰会上讨论的一个开源 GitBOM 工具，可以自动跟踪每个构建工件中包含的每个源代码文件。

微软的首席软件工程师 Nell Shamrell-Harrington 通过视频链接告诉与会者，GitBOM 工具基于一个紧凑的工件依赖图(Artifact Dependency Graph，ADG)技术，无需开发人员的任何努力，就可以验证在任何编程语言、环境和打包格式中正在使用的工件。为此，gitBOM 重新利用了 Git 版本控制软件中提供的有向无环图。

GitBOM 标识符(一个唯一的、可内容寻址的引用)需要在构建时插入到工件中。然后这个标识符创建了一个可以被 ADG 使用的 Gitoid，Shamrell-Harrington 说。然后，每个 Gitoid 都将一个工件视为一个二进位大型物件(bLOB) ，通过它可以识别所有进入工件的组件，包括源文件、依赖项和对象文件。

还包括对软件包数据交换2.3格式的支持，该格式用于共享 GitBOM 发现的软件材料清单(SBOM)信息。

GitBOM 还可以在运行时检测每个可能受到影响的软件构件中的潜在漏洞，无论其深度如何，以使 IT 团队更容易修复问题。这种方法使得查找(例如)应用程序环境中可能存在的 Log4j 漏洞的每个实例变得更加简单。GitBOM 只包含创建指纹所需的最少信息，以便能够对已知脆弱的工件进行有效的运行时扫描。

Shamrell-Harrington 说，目标不是取代 SBOM 工具，而是让它们更容易以对开发人员来说可能的最无摩擦的方式收集工件的数据。GitBOM 允许将任何元数据链接到一组特定的相应软件构件，从而更容易确切地发现它们是如何构造的。然后可以扩展工件 ID 以生成其他构建工具可以使用的 GitBOM 文档。

GitBOM 的共享正值人们对保护软件供应链的关注达到前所未有的高度之时。在 Log4j 漏洞披露之后，拜登政府要求每个联邦机构构建 SBOM，以使开发人员能够发现易受攻击的软件组件的实例。大多数大型企业组织通常都在效仿。

然而，收集 SBOM 只是一个更大挑战的第一部分。然后，组织需要获得分析 SBOM 的工具，并向应用程序开发人员提供反馈。实际上，组织最终将能够根据用于创建软件的组件来接受或拒绝软件。有了这些见解，开发人员就可以选择升级软件组件，使应用程序符合组织定义的任何策略。

SBOM 在整个 IT 组织中激增可能还需要一段时间，但眼前的问题只是找到创建它们的最不具侵入性的方法。