freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

如何使用bomber扫描软件物料清单(SBOM)以查找安全漏洞
2022-10-24 21:30:44

关于bomber

bomber是一款针对软件物料清单(SBOM)的安全漏洞扫描工具,广大研究人员可以通过该工具扫描和检测软件物料清单(SBOM)。

当你向一家供应商索要了他们的一个封闭源代码产品的软件材料清单,而他们以JSON文件的形式向你提供了一份材料清单,接下来你需要怎么做呢?

我们要做的第一件事就是查看软件物料清单中列出的任意组件是否存在安全漏洞,以及这些组件具有何种许可证,这将帮助我们确认使用该产品将承担何种风险。

而bomber正好可以帮助我们,该工具可以读取任何基于JSON或XML的CycloneDX格式,或JSON SPDXSyft格式的SBOM,然后立刻告诉广大研究人员目标SBOM中是否存在任何安全漏洞。

支持的SBOM格式

bomber支持下列SBOM格式:

SPDX

CycloneDX

Syft

工具安装

macOS

我们可以直接使用Homebrew来安装bomber:

brew tap devops-kung-fu/homebrew-tap

brew install devops-kung-fu/homebrew-tap/bomber

如果你不想用Homebrew安装的话,也可以直接访问该项目的【Releases页面】下载最新版本的bomber,例如bomber_0.1.0_darwin_all.tar.gz。

然后将bomber的代码拷贝到/usr/local/bin目录下,即可在命令行窗口中使用bomber了。

Linux

如需在Linux上安装bomber,可以直接该项目的【Releases页面】下载对应平台的bomber,并在本地设备上安装:

dpkg -i bomber_0.1.0_linux_arm64.deb

工具使用

我们可以直接扫描包含多个SBOM的目录,或单个SBOM。

扫描单个SBOM

bomber scan spdx.sbom.json

bomber scan --provider=xxx --username=xxx --token=xxx spdx-sbom.json

扫描整个SBOM目录

bomber scan --username=xxx --token=xxx ./sboms

输出为HTML

bomber scan bad-bom.json --output=html

输出为JSON

bomber scan bad-bom.json --output=json


许可证协议

本项目的开发与发布遵循MPL-2.0开源许可证协议。

项目地址

bomber:【GitHub传送门

参考资料

https://cyclonedx.org/

https://spdx.dev/

https://github.com/anchore/syft

https://brew.sh/

https://github.com/devops-kung-fu/hookz

本文作者:, 转载请注明来自FreeBuf.COM

# 漏洞检测 # 安全检测 # 软件供应链安全 # SBOM
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
评论 按热度排序

登录/注册后在FreeBuf发布内容哦

相关推荐
\
  • 0 文章数
  • 0 评论数
  • 0 关注者
文章目录
登录 / 注册后在FreeBuf发布内容哦