| sitelink1 | https://github.com/microsoft/sbom-tool |
|---|---|
| sitelink2 | https://github.com/microsoft/sbom-tool/b...guments.md |
| sitelink3 | |
| sitelink4 | |
| extra_vars5 | |
| extra_vars6 |
* syntax
sbom-tool generate -b <drop path> -bc <build components path> -pn <package name> -pv <package version> -ps <package supplier> -nsb <namespace uri base> -mi SPDX:3.0 (default : 2.2)
* ex> sbom-tool generate \
-b ./build-output \
-bc ./source-code \
-pn "nxp-unified-project" \
-pv "1.0.0" \
-ps "NXP Semiconductors" \
-nsb "https://nxp.com/sbom" \
-mi SPDX:2.2
* option detail
-b (--build-drop-path): 배포 대상 바이너리나 산출물이 위치한 경로
-bc (--build-component-path): 소스 코드가 위치한 경로 (여러 언어가 섞여 있어도 자동 감지)
-pn (--package-name): 패키지 이름
-pv (--package-version): 버전
-ps (--package-supplier): 공급자 정보
> SBOM 내에서 패키지를 누가 공급했는지를 명확히 하기 위한 필드
> Organization:조직 또는 회사 이름이 된다. (ex> Organization:TOBESOFT)
-nsb (--namespace-uri-base): 고유한 SBOM 식별을 위한 네임스페이스 URI
> Namespace URI Base의 약자
> SPDX 문서에서 각 컴포넌트나 패키지를 고유하게 식별하기 위해 URI 기반 식별자를 생성하는데, 이때 -nsb로 지정한 값을 기반으로 함
-mi (--manifest-info): SPDX 버전 (기본은 2.2, 3.0도 가능)
