docker scout sbom
| 描述 | 生成或显示镜像的 SBOM |
|---|---|
| 用法 | docker scout sbom [IMAGE|DIRECTORY|ARCHIVE] |
描述
docker scout sbom 命令分析软件构件以生成软件物料清单 (SBOM)。
SBOM 包含镜像中所有软件包的列表。
您可以使用 --format 标志来过滤该命令的输出,
以仅显示特定类型的软件包。
如果未指定镜像,则使用最近构建的镜像。
支持以下构件类型:
- 镜像
- OCI 布局目录
- 由
docker save创建的 Tarball 归档 - 本地目录或文件
默认情况下,该工具需要一个镜像引用,例如:
rediscurlimages/curl:7.87.0mcr.microsoft.com/dotnet/runtime:7.0
如果您要分析的产物是 OCI 目录、tarball 归档文件、本地文件或目录,或者您希望控制镜像的解析来源,则必须在引用前加上以下前缀之一:
image://(默认) 使用本地镜像,或回退到注册表查找local://使用本地镜像存储中的镜像(不进行仓库查找)registry://使用来自注册中心的镜像(不使用本地镜像)oci-dir://使用 OCI 布局目录archive://使用由docker save创建的 tarball 归档文件fs://使用本地目录或文件
选项
| 选项 | 默认 | 描述 |
|---|---|---|
--format | json | 输出格式: - list: 镜像的软件包列表 - json: SBOM 的 json 表示 - spdx:SBOM 的 SPDX 表示 - cyclonedx: SBOM 的 CycloneDX 表示形式 |
--only-package-type | 软件包类型的逗号分隔列表(如 apk, deb, rpm, npm, pypi, golang 等) 只能与 --format list 一起使用 | |
-o, --output | 将报告写入文件 | |
--platform | 要分析的镜像平台 | |
--ref | 如果提供的 tarball 包含多个引用,则使用此引用。 只能与归档一起使用 |
示例
显示软件包列表
$ docker scout sbom --format list alpine
仅显示特定类型的软件包
$ docker scout sbom --format list --only-package-type apk alpine
以 JSON 格式显示完整的 SBOM
$ docker scout sbom alpine
显示最新构建镜像的完整 SBOM
$ docker scout sbom
将 SBOM 写入文件
$ docker scout sbom --output alpine.sbom alpine