统信UOS软件包标识化工具deepin-sbom-tools使用

鹏大搞运维 2024-07-08 15:16:40

原文链接:

Hello,大家好啊!今天给大家带来一篇关于在统信UOS上使用软件包标识化工具deepin-sbom-tools的文章。deepin-sbom-tools是一个强大的工具,可以帮助开发者和系统管理员更好地管理和追踪软件包信息。本文将详细介绍如何安装和使用deepin-sbom-tools。欢迎大家分享转发,点个关注和在看吧!

什么是deepin-sbom-tools?

deepin-sbom-tools是一款软件包标识化工具,它可以生成和解析软件包的SBOM(Software Bill of Materials),从而帮助用户追踪软件包的来源、依赖关系以及安全漏洞等信息。通过使用SBOM,开发者和系统管理员可以更加透明和高效地管理软件包,确保系统的安全性和合规性。

基本信息

命令格式:

package-sbom-tool <command> [arguments]

可用命令

generate: 生成软件包的SBOM(Software Bill of Materials,软件物料清单)信息文件。

validate: 验证SBOM文件格式的有效性。

identity: 显示软件包的身份信息。

sign: 对SBOM文件进行签名。

verify: 验证SBOM文件的签名。

可用参数

-v: 启用详细模式,会输出更多的调试信息。

-version: 显示工具的版本信息。

1.查看系统信息

pdsyw@pdsyw-PC:~/Desktop$ cat /etc/os-version pdsyw@pdsyw-PC:~/Desktop$ uname -a

2.安装工具

3.查看命令帮助

pdsyw@pdsyw-PC:~/Desktop$ package-sbom-tool -hUsage: package-sbom-tool <command> [arguments]Commands:generate generate package sbom info filevalidate verify the validity of the sbom file formatidentity package identitysign sign the sbom fileverify verify signature of sbom fileArguments:-v enable verbose mode-versiondisplay the version of toolpdsyw@pdsyw-PC:~/Desktop$

4.generate

可用参数

-f string: 指定SPDX文件格式(默认值为 "spdx-json")。

-i string: 要分析的软件包文件。

-ns string: SBOM文档命名空间的基网址(默认值为 "https://www.deepin.org/namespace/package")。

-o string: 保存SPDX文件的目录(默认值为当前目录 "./")。

-v: 启用详细模式,会输出更多的调试信息。

pdsyw@pdsyw-PC:~/Desktop$ package-sbom-tool generate -hUsage: package-sbom-tool generate [arguments]Example: package-sbom-tool generate -i example.debarguments:-f stringthe SPDX file format (default "spdx-json")-i stringthe package file which will be analyzed-ns stringthe sbom document namespace base url. (default "https://www.deepin.org/namespace/package")-o stringthe directory to save SPDX file (default "./")-v enable verbose modepdsyw@pdsyw-PC:~/Desktop$

5.生成SBOM文件

pdsyw@pdsyw-PC:~/Desktop$ package-sbom-tool generate -i com.qq.weixin_2.0.0-2_amd64.deb [Info] 2024/07/04 19:24:48 generate.go:128: SBOM written to /home/pdsyw/Desktop/sbom.spdx.jsonpdsyw@pdsyw-PC:~/Desktop$ ls -ltr总用量 34668-rw-r--r-- 1 pdsyw pdsyw 6777 7月 2 21:54 dde-computer.desktop-rw-r--r-- 1 pdsyw pdsyw 5235 7月 2 21:54 dde-trash.desktop-rw-r--r-- 1 pdsyw pdsyw 3618 7月 2 21:54 dde-home.desktop-rw-r--r-- 1 pdsyw pdsyw 558 7月 2 21:54 deepin-tooltips.desktop-rw-r--r-- 1 pdsyw pdsyw 776 7月 2 21:54 uos-service-support.desktop-rwxrwxrwx 1 root root 35402416 7月 4 19:22 com.qq.weixin_2.0.0-2_amd64.deb-rw-r--r-- 1 pdsyw pdsyw 64671 7月 4 19:24 sbom.spdx.jsonpdsyw@pdsyw-PC:~/Desktop$

6.validate

可用参数

-f string: 指定SPDX文件格式(默认值为 "spdx-json")。

-i string: 要验证的SBOM文件。

-v: 启用详细模式,会输出更多的调试信息。

pdsyw@pdsyw-PC:~/Desktop$ package-sbom-tool validate -hUsage: package-sbom-tool validate [arguments]Example: package-sbom-tool validate -i sbom.spdx.jsonarguments:-f stringthe SPDX file format (default "spdx-json")-i stringthe sbom file which will be validated-v enable verbose modepdsyw@pdsyw-PC:~/Desktop$

7.验证sbom信息

pdsyw@pdsyw-PC:~/Desktop$ package-sbom-tool validate -i sbom.spdx.json [Info] 2024/07/04 19:33:27 validate.go:65: sbom.spdx.json validate successpdsyw@pdsyw-PC:~/Desktop$

8.identity

可用参数

-f string: 指定要进行身份识别的软件包文件。

-v: 启用详细模式,会输出更多的调试信息。

-verify string: 验证软件包的身份。

pdsyw@pdsyw-PC:~/Desktop$ package-sbom-tool identity -hUsage: package-sbom-tool identity [arguments]Example: package-sbom-tool identity -f example.deb arguments:-f stringpackage to be identitied-v enable verbose mode-verify stringverify package identitiypdsyw@pdsyw-PC:~/Desktop$

9.生成标识以及验证

pdsyw@pdsyw-PC:~/Desktop$ package-sbom-tool identity -f com.qq.weixin_2.0.0-2_amd64.deb [Info] 2024/07/04 19:39:12 identity_cmd.go:65: generate pacakgeID: 9d8cdaaef4117f72a975c64c979cf46633d31a61pdsyw@pdsyw-PC:~/Desktop$ package-sbom-tool identity -f com.qq.weixin_2.0.0-2_amd64.deb -verify 9d8cdaaef4117f72a975c64c979cf46633d31a61[Info] 2024/07/04 19:39:15 identity_cmd.go:55: identity verification successfulpdsyw@pdsyw-PC:~/Desktop$

10.sign

可用参数

-f string: 要签名的文件。

-o string: 保存签名文件的目录(默认值为当前目录 "./")。

-prik string: 用于签名的私钥。

-v: 启用详细模式,会输出更多的调试信息。

pdsyw@pdsyw-PC:~/Desktop$ package-sbom-tool sign -hUsage: package-sbom-tool sign [arguments]Example: package-sbom-tool sign -f sbom.spdx.json -k key arguments:-f stringthe file to be signed-o stringthe directory to save sign file (default "./")-prik stringthe sign private key-v enable verbose modepdsyw@pdsyw-PC:~/Desktop$

11.对sbom信息签名

pdsyw@pdsyw-PC:~/Desktop$ package-sbom-tool sign -f sbom.spdx.json -prik priv.key

12.对签名信息验证

pdsyw@pdsyw-PC:~/Desktop$ package-sbom-tool verify -f sbom.spdx.json -s sbom.spdx.json.signed -pubk pub.key

通过本文的介绍,您应该已经掌握了在统信UOS上使用deepin-sbom-tools生成和解析SBOM文件的方法。deepin-sbom-tools是一款强大的工具,可以帮助开发者和系统管理员更好地管理和追踪软件包信息,确保系统的安全性和合规性。如果您觉得这篇文章有用,请分享和转发。同时,别忘了点个关注和在看,以便未来获取更多实用的技术信息和解决方案。感谢大家的阅读,我们下次再见!

0 阅读:0

鹏大搞运维

简介:感谢大家的关注

作者最新文章
科技TOP
科技最新文章
热门分类
军事 NBA 体育 社会 明星八卦 娱乐 财经 科技 汽车 历史 国际 游戏 动漫 公益 搞笑 商业 互联网 数码 国际足球 健康 房产 家居 电影 星座 旅游 健身 时尚 科学探索 职场 育儿 股票 教育 影视 情感 热点

© CopyRight 2010-2024 DC生肖网(www.dcwnkz.com)

粤ICP备2023061899号-2 邮箱:181046773#qq.com

声明:部分文章摘自互联网,如有侵权,麻烦告知删除。