docker scout sbom
| 描述 | 產生或顯示映像檔的 SBOM |
|---|---|
| 用法 | docker scout sbom [映像檔|目錄|壓縮檔] |
描述
docker scout sbom 命令會分析軟體構件以產生軟體物料清單 (SBOM)。
SBOM 包含映像檔中所有套件的清單。您可以使用 --format 旗標來篩選命令的輸出,僅顯示特定類型的套件。
如果未指定映像檔,則使用最近建置的映像檔。
支援下列構件類型
- 映像檔
- OCI 佈局目錄
- 由
docker save建立的 Tarball 壓縮檔 - 本地目錄或檔案
預設情況下,此工具需要映像檔參考,例如
rediscurlimages/curl:7.87.0mcr.microsoft.com/dotnet/runtime:7.0
如果您要分析的構件是 OCI 目錄、tarball 壓縮檔、本地檔案或目錄,或者您想控制映像檔的解析來源,則必須使用下列其中一個前綴來加上參考
image://(預設)使用本地映像檔,或者退回到 registry 查詢local://使用本地映像檔儲存區中的映像檔(不執行 registry 查詢)registry://使用 registry 中的映像檔(不使用本地映像檔)oci-dir://使用 OCI 佈局目錄archive://使用由docker save建立的 tarball 壓縮檔fs://使用本地目錄或檔案
選項
| 選項 | 預設值 | 描述 |
|---|---|---|
--format | json | 輸出格式 - list: 映像檔的套件清單 - json: SBOM 的 json 表示法 - spdx: SBOM 的 spdx 表示法 - cyclonedx: SBOM 的 cyclone dx 表示法 |
--only-package-type | 以逗號分隔的套件類型清單(例如 apk、deb、rpm、npm、pypi、golang 等) 只能與 --format list 一起使用 | |
-o, --output | 將報告寫入檔案 | |
--platform | 要分析的映像檔平台 | |
--ref | 如果提供的 tarball 包含多個參考,則使用的參考。 只能與 archive 一起使用 |
範例
顯示套件清單
$ docker scout sbom --format list alpine
僅顯示特定類型的套件
$ docker scout sbom --format list --only-package-type apk alpine
以 JSON 格式顯示完整的 SBOM
$ docker scout sbom alpine
顯示最近建置的映像檔的完整 SBOM
$ docker scout sbom
將 SBOM 寫入檔案
$ docker scout sbom --output alpine.sbom alpine