Pour mgpy, une bonne SBOM est plus qu un simple format d export. Elle relie la realite du package, la visibilite des licences et la transparence supply chain dans un artefact auditable.
Points cles
- CLI: Sous Windows, les exemples utilisent la forme recommandee
py -3.12 -m <module> ...(par ex.py -3.12 -m manifestguard ...). Sous Linux/macOS, cela correspond generalement apython3.12 -m .... - La SBOM doit correspondre aux artefacts reellement produits et a leurs versions.
- Des licences manquantes ou une origine peu claire rendent la SBOM faible pour une vraie approbation de release.
- La generation de SBOM doit faire partie du chemin de release et non d une exception manuelle.
Workflow mgpy recommande
- Choisir d abord un format SBOM exploitable dans l environnement cible.
- Verifier ensuite le resultat face a
pip freeze, aux artefacts de build et aux metadonnees du package. - Regenerer la meme SBOM a chaque release afin de conserver des comparaisons utiles.
Demarrage rapide
py -3.12 -m manifestguard sbom --format spdx --output sbom.spdx.json
py -3.12 -m manifestguard sbom --format cyclonedx --output sbom.cdx.json
py -3.12 -m manifestguard check --extended