Eine gute SBOM ist fuer mgpy mehr als ein Exportformat. Sie verbindet Paketrealitaet, Lizenzsicht und Supply-Chain-Transparenz zu einem auditierbaren Artefakt.
Kernpunkte
- CLI: Unter Windows zeigen die Beispiele den empfohlenen Aufruf via
py -3.12 -m <modul> ...(z.B.py -3.12 -m manifestguard ...). Auf Linux/macOS entspricht das in der Regelpython3.12 -m .... - Die SBOM muss zu den wirklich gebauten Artefakten und ihren Versionen passen.
- Fehlende Lizenzen oder unklare Herkunftseintraege machen die SBOM wertlos fuer echte Freigaben.
- SBOM-Generierung sollte Teil des Release-Prozesses und nicht nur eine manuelle Sonderaktion sein.
Empfohlener MG-Python-Workflow
- Zuerst ein SBOM-Format waehlen, das in der Zielumgebung weiterverarbeitet werden kann.
- Dann Ausgabe gegen
pip freeze, Build-Artefakte und Paketmetadaten gegenpruefen. - Bei jedem Release dieselbe SBOM-Erzeugung wiederholen, damit Vergleichbarkeit erhalten bleibt.
Schnellstart
py -3.12 -m manifestguard sbom --format spdx --output sbom.spdx.json
py -3.12 -m manifestguard sbom --format cyclonedx --output sbom.cdx.json
py -3.12 -m manifestguard check --extended