Comment consulter le SBOM d'un dépôt¶
Quand utiliser ce guide¶
Utilise ce guide quand tu veux :
- Voir les composants logiciels détectés dans un dépôt (SBOM)
- Consulter les vulnérabilités identifiées par Dependency-Track
- Télécharger le fichier SBOM au format SPDX ou CycloneDX
- Comprendre ce qu'affiche l'onglet Security d'un dépôt
Pré-requis¶
- Un dépôt gitrust avec au moins un push récent
- La fonctionnalité SBOM activée par l'administrateur de l'instance (
CI_SBOM_ENABLED=true) - Le niveau d'accès Reader minimum sur le dépôt
Étapes¶
1. Accéder à l'onglet Security du dépôt¶
Navigue vers /{owner}/{repo}/security.
La page Security s'affiche avec l'encart SBOM.
2. Lire les informations du SBOM¶
L'encart SBOM affiche pour le dernier push analysé :
| Information | Signification |
|---|---|
| Statut | success, pending, processing, failed |
| Composants détectés | Nombre de dépendances identifiées par Syft |
| Commit analysé | SHA du dernier commit scanné |
| Hash SHA256 du BOM | Empreinte du fichier SBOM généré (traçabilité) |
| Dernière analyse | Date et heure du scan |
3. Consulter les vulnérabilités (si Dependency-Track est configuré)¶
Si l'administrateur a configuré Dependency-Track, l'encart affiche en plus les compteurs par sévérité :
| Sévérité | Signification |
|---|---|
| Critical | Vulnérabilité critique, exploitation active connue |
| High | Vulnérabilité haute, correctif disponible |
| Medium | Impact modéré |
| Low | Impact faible |
Un lien Voir dans Dependency-Track permet d'accéder au détail de chaque vulnérabilité (CVE, description, composant affecté, version corrigée).
4. Télécharger le fichier SBOM¶
Si le SBOM a été généré avec succès, un bouton Télécharger le SBOM est disponible dans l'encart. Le fichier téléchargé est au format CycloneDX JSON — le format standard utilisé par gitrust pour générer et transmettre les SBOM.
Variantes¶
Statut processing qui ne se résout pas¶
Si le statut reste processing longtemps, cela signifie que Dependency-Track n'a pas terminé son analyse dans le délai imparti (30 secondes). L'analyse continue en arrière-plan sur Dependency-Track. Pour voir les résultats définitifs, consulte directement l'interface Dependency-Track en cliquant sur le lien de l'encart.
Pas de données SBOM sur un dépôt¶
Deux raisons possibles :
- Aucun push depuis l'activation du SBOM : le scan ne se déclenche qu'à chaque push. Pousse un commit pour déclencher le premier scan.
- Fonctionnalité non activée : l'administrateur n'a pas activé
CI_SBOM_ENABLED. Contacte-le.
Voir aussi¶
- Tutoriel 04 — Automatiser avec la CI : la CI et le SBOM sont deux fonctionnalités distinctes déclenchées par le même push
- Comprendre la sécurité côté utilisateur : pourquoi surveiller les dépendances