sbom-syft

sbom-syft 技能使 AI 编程代理能够为容器镜像、归档文件及本地文件系统生成完整的软件物料清单 (SBOM)。通过利用行业标准的 Syft CLI，该工具提供了对软件组成情况的深入可见性，确保每个包、依赖项和库都能被追踪，支持包括 Go、Python、Java、JavaScript 及原生 Linux 发行版在内的 28 种以上生态系统。对于需要维护准确清单以进行漏洞管理和供应链透明度的开发人员、DevSecOps 工程师及安全审计人员而言，这是不可或缺的工具。

• 自动从容器层、源代码目录和二进制归档文件中编目包依赖关系。

• 支持行业标准输出格式，包括 CycloneDX (JSON/XML)、SPDX (JSON/Tag-Value) 以及用于详细分析的原生 syft-json。

• 支持使用 cosign 进行加密签名的 SBOM 证明，以进行严格的软件来源验证。

• 与 Grype 等漏洞扫描工具无缝集成，将 SBOM 数据与已知 CVE 及安全风险进行关联。

• 支持复杂环境，包括多架构容器镜像和嵌套依赖树。

• 使用此技能在 CI/CD 流水线中生成构建时的 SBOM 制品，以建立安全透明度。

• 通过审计扫描过程中检测到的第三方依赖关系，确保许可合规性。

• 结合漏洞管理工作流程，根据包元数据和依赖深度来排定修复工作的优先级。

• 通过 .syft.yaml 配置高级扫描行为，包括包含或排除特定路径、管理注册表身份验证或调整编目范围。

• 非常适合需要符合 NIST 或 OWASP 等联邦或行业标准，以确保软件供应链安全的项目。