sbom-syft

sbom-syft 技能使 AI 程式設計代理程式能夠為容器映像檔、歸檔檔案及本機檔案系統產生完整的軟體物料清單 (SBOM)。透過運用業界標準的 Syft CLI，此工具可提供軟體組成狀況的深入能見度，確保每個套件、相依性與函式庫皆能被追蹤，支援包括 Go、Python、Java、JavaScript 及原生 Linux 發行版在內的 28 種以上生態系。對於需要維護準確清單以進行弱點管理與供應鏈透明度的開發人員、DevSecOps 工程師及安全性稽核人員而言，這是不可或缺的工具。

• 自動從容器層、原始程式碼目錄與二進位歸檔檔案中編目套件相依性。

• 支援業界標準輸出格式，包括 CycloneDX (JSON/XML)、SPDX (JSON/Tag-Value) 以及用於詳細分析的原生 syft-json。

• 支援使用 cosign 進行加密簽署的 SBOM 證明，以進行嚴謹的軟體來源驗證。

• 與 Grype 等弱點掃描工具無縫整合，將 SBOM 資料與已知 CVE 及安全性風險進行關聯。

• 支援複雜環境，包括多架構容器映像檔與巢狀相依性樹狀結構。

• 使用此技能在 CI/CD 管線中產生建置時期的 SBOM 成品，以建立安全性透明度。

• 透過稽核掃描過程中偵測到的第三方相依性，確保授權合規性。

• 結合弱點管理工作流程，根據套件元資料與相依性深度來排定修復工作的優先順序。

• 透過 .syft.yaml 設定進階掃描行為，包含或排除特定路徑、管理登錄驗證或調整編目範圍。

• 非常適合需要符合 NIST 或 OWASP 等聯邦或業界標準，以確保軟體供應鏈安全性的專案。