官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
如何使用bomber扫描软件物料清单(SBOM)以查找安全漏洞
Alpha_h4ck- 关注
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
如何使用bomber扫描软件物料清单(SBOM)以查找安全漏洞
关于bomber
bomber是一款针对软件物料清单(SBOM)的安全漏洞扫描工具,广大研究人员可以通过该工具扫描和检测软件物料清单(SBOM)。
当你向一家供应商索要了他们的一个封闭源代码产品的软件材料清单,而他们以JSON文件的形式向你提供了一份材料清单,接下来你需要怎么做呢?
我们要做的第一件事就是查看软件物料清单中列出的任意组件是否存在安全漏洞,以及这些组件具有何种许可证,这将帮助我们确认使用该产品将承担何种风险。
而bomber正好可以帮助我们,该工具可以读取任何基于JSON或XML的CycloneDX格式,或JSON SPDX或Syft格式的SBOM,然后立刻告诉广大研究人员目标SBOM中是否存在任何安全漏洞。
支持的SBOM格式
bomber支持下列SBOM格式:
工具安装
macOS
我们可以直接使用Homebrew来安装bomber:
brew tap devops-kung-fu/homebrew-tap brew install devops-kung-fu/homebrew-tap/bomber
如果你不想用Homebrew安装的话,也可以直接访问该项目的【Releases页面】下载最新版本的bomber,例如bomber_0.1.0_darwin_all.tar.gz。
然后将bomber的代码拷贝到/usr/local/bin目录下,即可在命令行窗口中使用bomber了。
Linux
如需在Linux上安装bomber,可以直接该项目的【Releases页面】下载对应平台的bomber,并在本地设备上安装:
dpkg -i bomber_0.1.0_linux_arm64.deb
工具使用
我们可以直接扫描包含多个SBOM的目录,或单个SBOM。
扫描单个SBOM
bomber scan spdx.sbom.json bomber scan --provider=xxx --username=xxx --token=xxx spdx-sbom.json
扫描整个SBOM目录
bomber scan --username=xxx --token=xxx ./sboms
输出为HTML
bomber scan bad-bom.json --output=html
输出为JSON
bomber scan bad-bom.json --output=json
许可证协议
本项目的开发与发布遵循MPL-2.0开源许可证协议。
项目地址
bomber:【GitHub传送门】
参考资料
本文为 Alpha_h4ck 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
Alpha_h4ck LV.10
好好学习,天天向上
- 2359 文章数
- 1021 关注者
Tetragon:一款基于eBPF的运行时环境安全监控工具
2025-01-21
DroneXtract:一款针对无人机的网络安全数字取证工具
2025-01-21
CNAPPgoat:一款针对云环境的安全实践靶场
2025-01-21
文章目录