Fir mgpy ass eng gutt SBOM méi wéi en Exportformat. Si verbënnt Paket-Realitéit, Lizenz-Siicht a Supply-Chain-Transparenz zu engem auditéierbaren Artefakt.
Kaerpunkten
- CLI: Ënner Windows weisen d'Beispiller de recommandéierte Start iwwer
py -3.12 -m <modul> ...(z.B.py -3.12 -m manifestguard ...). Ënner Linux/macOS ass dat normalerweispython3.12 -m .... - D SBOM muss zu de wierklech gebaute Artefakter an hire Versioune passen.
- Feelend Lizenzen oder onkloer Origin-Einträg maachen eng SBOM schwaach fir eng richteg Release-Freigab.
- SBOM-Generéierung soll Deel vum Release-Pfad sinn an net nëmmen eng manuell Ausnam.
Recommandeierte mgpy-Workflow
- Als éischt e SBOM-Format wielen, dat an der Zilëmfeld weiderveraarbecht ka ginn.
- Dann d Resultat géint
pip freeze, Build-Artefakter a Package-Metadaten géintpréiwen. - Bei all Release déi selwecht SBOM-Generéierung widderhuelen, fir Vergläichbarkeet ze halen.
Schnellstart
py -3.12 -m manifestguard sbom --format spdx --output sbom.spdx.json
py -3.12 -m manifestguard sbom --format cyclonedx --output sbom.cdx.json
py -3.12 -m manifestguard check --extended