Syft

Uno de los elementos clave para mejorar la "seguridad de la cadena de suministro" es usar una Lista de materiales de software (SBOM), por eso es cada vez más importante publicar un SBOM junto con el producto de software. Syft Es una herramienta CLI y una biblioteca Go para generar un SBOM a partir de imágenes de contenedores y sistemas de archivos. Puede generar la salida SBOM en múltiples formatos, incluyendo JSON, CycloneDX y SPDX. La salida SBOM de Syft puede ser utilizada por Grype para el escaneo de vulnerabilidades. Una forma de publicar el SBOM generado junto con la imagen es agregarlo como testigo usando Cosign. Esto permite que los consumidores de la imagen verifiquen el SBOM y lo utilicen para un análisis posterior.