Python Package

SBOM-Qualitéit

Eng Software Bill of Materials fir Python-Packagen erstellen a validéieren.

Fréien Zougang: Bis 2026-12-31

Zréck Iwwerbléck Viraussetzungen

Fir mgpy ass eng gutt SBOM méi wéi en Exportformat. Si verbënnt Paket-Realitéit, Lizenz-Siicht a Supply-Chain-Transparenz zu engem auditéierbaren Artefakt.

Kaerpunkten

CLI: Ënner Windows weisen d'Beispiller de recommandéierte Start iwwer py -3.12 -m <modul> ... (z.B. py -3.12 -m manifestguard ...). Ënner Linux/macOS ass dat normalerweis python3.12 -m ....
D SBOM muss zu de wierklech gebaute Artefakter an hire Versioune passen.
Feelend Lizenzen oder onkloer Origin-Einträg maachen eng SBOM schwaach fir eng richteg Release-Freigab.
SBOM-Generéierung soll Deel vum Release-Pfad sinn an net nëmmen eng manuell Ausnam.

Recommandeierte mgpy-Workflow

Als éischt e SBOM-Format wielen, dat an der Zilëmfeld weiderveraarbecht ka ginn.
Dann d Resultat géint pip freeze, Build-Artefakter a Package-Metadaten géintpréiwen.
Bei all Release déi selwecht SBOM-Generéierung widderhuelen, fir Vergläichbarkeet ze halen.

Schnellstart

py -3.12 -m manifestguard sbom --format spdx --output sbom.spdx.json
py -3.12 -m manifestguard sbom --format cyclonedx --output sbom.cdx.json
py -3.12 -m manifestguard check --extended

Viraussetzungen



Installation interpreter	Python 3.12 + pip	Recommended default path for installation and CLI calls.
Project target versions	Python 3.8 to 3.12	These are the project/runtime targets mgpy can analyze.
mgpy runtime	Validated on Python 3.10 to 3.13	The tool runtime itself is covered for this range.
CLI invocation	Windows: py -3.12 -m manifestguard	Linux/macOS usually maps to python3.12 -m manifestguard.
Runtime packages	tomlkit, click, pydantic, packaging, watchdog, PyNaCl, rfc8785	tomli is only added for Python below 3.11.
Offline / wheel install	Optional via pip --no-index or wheel	Useful for air-gapped or approved bundle distribution paths.