📄️ SBOM 開源工具使用說明
SBOM (Software Bill of Materials): SBOM提供軟體中包含的所有函式庫與元件的清單,還會列出版本號、原始碼來源和關聯資訊。SBOM的目的是讓使用者或開發者瞭解軟體的組成,這樣在發生安全事件或需要更新時,能夠快速識別和應對。
📄️ CI/CD - 於 GitHub 上建立自動生成 SBOM 及漏洞掃描
使用 GitHub 平台所提供的 CI/CD 工具 GitHub Actions 設定每次程式碼更新自動觸發自動化的生成 SBOM 文件及透過 OSV 工具自動化流程。以下範例將以 petsard 專案為例。
📄️ CI/CD - 於 GitLab 上建立自動生成 SBOM 及漏洞掃描
使用 GitLab 平台所提供的 CI/CD 工具 GitLab CI/CD 設定每次程式碼更新自動觸發自動化的生成 SBOM 文件及透過 Trivy 工具進行漏洞掃描的自動化流程。
📄️ 提升系統可維護性:自動化驗證與佈署的最佳實踐
廠商交付的原始碼與弱點掃描報告,機關需有獨立的驗證與佈署流程。建議機關建立自動化驗證與佈署流程,並使用工具來管理與掃描系統元件組成與可能弱點。
📄️ 支援卓越營運的雲端架構設計模式
本文翻譯自:Microsoft 發布 Cloud design patterns that support operational excellence
📄️ 卓越營運設計原則
本文翻譯自:Microsoft 發布 Operational excellence design principles
📄️ SBOM 增補欄位(parlay)與結果判讀(jqp)
本篇以 code-goc-tw 開源專案為例,示範包含掃描/使用 parlay 增補欄位/分析漏洞/使用 jqp 判讀結果。
📄️ SBOM 分析視覺化工具 ex-sbom
介紹
📄️ 如何透過 trivy 掃描專案內元件授權
為確保專案符合所使用元件之授權範圍,使用者應具備獨立驗證授權的流程。建議使用者參考以下流程與範本,管理並確認專案元件所使用的授權。