| Both sides previous revisionPrevious revision | |
| guia_rapida_de_la_linea_de_comandos_de_docker [2022/04/20 10:45] – busindre | guia_rapida_de_la_linea_de_comandos_de_docker [2022/04/20 10:53] (current) – [SBOM de las imagenes de Docker] busindre |
|---|
| ===== SBOM de las imagenes de Docker ===== | ===== SBOM de las imagenes de Docker ===== |
| |
| Una lista de materiales de software (SBOM) enumera todos los componentes que conforman un software (o que se utilizaron para construirlo). En el caso de imágenes de contenedores, esto incluye paquetes instalados (por ejemplo la bash, los certificados ca, git, etc) junto con sus dependencias, por ejemplo, Log4j. Cada herramienta SBOM puede incluir en su salida diferentes subconjuntos de esta información o incluso más detalles, como versiones de los componentes y su fuente. En Docker se puede usar el siguiente plugin para generar reportes sbom, muy utiles a la hora de buscar aplicaciones vulnerables. Aunque si se quiere obtener más información se recomienda el uso de [[https://github.com/anchore/syft|syft]] directamente. | Una lista de materiales de software (SBOM) enumera todos los componentes que conforman un software (o que se utilizaron para construirlo). En el caso de imágenes de contenedores, esto incluye paquetes instalados (por ejemplo la bash, los certificados ca, git, etc) junto con sus dependencias, por ejemplo, Log4j. Cada herramienta SBOM puede incluir en su salida diferentes subconjuntos de esta información o incluso más detalles, como versiones de los componentes y su fuente. En Docker se puede usar el siguiente plugin para generar reportes [[https://github.com/docker/sbom-cli-plugin|sbom]], muy utiles a la hora de buscar aplicaciones vulnerables. Aunque si se quiere obtener más información se recomienda el uso de [[https://github.com/anchore/syft|syft]] directamente. |
| |
| |
| github.com/hashicorp/hcl v1.0.0 go-module | github.com/hashicorp/hcl v1.0.0 go-module |
| github.com/magiconair/properties v1.8.5 go-module | github.com/magiconair/properties v1.8.5 go-module |
| | </code> |
| | |
| | Usando diferentes opciones de formato de salida se puede obtener más información, por ejemplo nombre, licencia, referencias externas, autor, etc. |
| | <code bash> |
| | docker sbom --format spdx zricethezav/gitleaks |
| | Syft v0.43.0 |
| | ✔ Loaded image |
| | ✔ Parsed image |
| | ✔ Cataloged packages [49 packages] |
| | SPDXVersion: SPDX-2.2 |
| | DataLicense: CC0-1.0 |
| | SPDXID: SPDXRef-DOCUMENT |
| | DocumentName: zricethezav/gitleaks-latest |
| | DocumentNamespace: https://anchore.com/syft/image/zricethezav/gitleaks-latest-cafe4ad2-56b1-4618-8193-3c159f5832de |
| | LicenseListVersion: 3.16 |
| | Creator: Organization: Anchore, Inc |
| | Creator: Tool: syft-[not provided] |
| | Created: 2022-04-20T08:48:22Z |
| | |
| | ##### Package: alpine-baselayout |
| | |
| | PackageName: alpine-baselayout |
| | SPDXID: SPDXRef-Package-apk-alpine-baselayout-ed18f2a986e77aab |
| | PackageVersion: 3.2.0-r16 |
| | PackageDownloadLocation: NOASSERTION |
| | FilesAnalyzed: false |
| | PackageLicenseConcluded: GPL-2.0-only |
| | PackageLicenseDeclared: GPL-2.0-only |
| | PackageCopyrightText: NOASSERTION |
| | ExternalRef: SECURITY cpe23Type cpe:2.3:a:alpine-baselayout:alpine-baselayout:3.2.0-r16:*:*:*:*:*:*:* |
| | ExternalRef: SECURITY cpe23Type cpe:2.3:a:alpine-baselayout:alpine_baselayout:3.2.0-r16:*:*:*:*:*:*:* |
| | ExternalRef: SECURITY cpe23Type cpe:2.3:a:alpine_baselayout:alpine-baselayout:3.2.0-r16:*:*:*:*:*:*:* |
| | ExternalRef: SECURITY cpe23Type cpe:2.3:a:alpine_baselayout:alpine_baselayout:3.2.0-r16:*:*:*:*:*:*:* |
| | ExternalRef: SECURITY cpe23Type cpe:2.3:a:alpine:alpine-baselayout:3.2.0-r16:*:*:*:*:*:*:* |
| | ExternalRef: SECURITY cpe23Type cpe:2.3:a:alpine:alpine_baselayout:3.2.0-r16:*:*:*:*:*:*:* |
| | ExternalRef: PACKAGE_MANAGER purl pkg:alpine/alpine-baselayout@3.2.0-r16?arch=x86_64&upstream=alpine-baselayout&distro=alpine-3.14.2 |
| ...</code> | ...</code> |
