Python Package

SBOM-Qualitaet

Software Bill of Materials fuer Python-Pakete erstellen und validieren.

Früher Zugriff: Bis 2026-12-31

Zurück Überblick Voraussetzungen

Eine gute SBOM ist fuer mgpy mehr als ein Exportformat. Sie verbindet Paketrealitaet, Lizenzsicht und Supply-Chain-Transparenz zu einem auditierbaren Artefakt.

Kernpunkte

CLI: Unter Windows zeigen die Beispiele den empfohlenen Aufruf via py -3.12 -m <modul> ... (z.B. py -3.12 -m manifestguard ...). Auf Linux/macOS entspricht das in der Regel python3.12 -m ....
Die SBOM muss zu den wirklich gebauten Artefakten und ihren Versionen passen.
Fehlende Lizenzen oder unklare Herkunftseintraege machen die SBOM wertlos fuer echte Freigaben.
SBOM-Generierung sollte Teil des Release-Prozesses und nicht nur eine manuelle Sonderaktion sein.

Empfohlener MG-Python-Workflow

Zuerst ein SBOM-Format waehlen, das in der Zielumgebung weiterverarbeitet werden kann.
Dann Ausgabe gegen pip freeze, Build-Artefakte und Paketmetadaten gegenpruefen.
Bei jedem Release dieselbe SBOM-Erzeugung wiederholen, damit Vergleichbarkeit erhalten bleibt.

Schnellstart

py -3.12 -m manifestguard sbom --format spdx --output sbom.spdx.json
py -3.12 -m manifestguard sbom --format cyclonedx --output sbom.cdx.json
py -3.12 -m manifestguard check --extended

Voraussetzungen



Installation interpreter	Python 3.12 + pip	Recommended default path for installation and CLI calls.
Project target versions	Python 3.8 to 3.12	These are the project/runtime targets mgpy can analyze.
mgpy runtime	Validated on Python 3.10 to 3.13	The tool runtime itself is covered for this range.
CLI invocation	Windows: py -3.12 -m manifestguard	Linux/macOS usually maps to python3.12 -m manifestguard.
Runtime packages	tomlkit, click, pydantic, packaging, watchdog, PyNaCl, rfc8785	tomli is only added for Python below 3.11.
Offline / wheel install	Optional via pip --no-index or wheel	Useful for air-gapped or approved bundle distribution paths.