技能 sbom-syft
📦
sbom-syft
安全 ⚙️
外部命令🌐
網路存取📁
檔案系統存取🔑
環境變數⚡
包含腳本
Générer une nomenclature logicielle avec Syft
Les attaques de la chaîne d'approvisionnement logicielle sont en augmentation. Les organisations ont besoin de visibilité sur leurs dépendances logicielles. Cette compétence fournit des instructions étape par étape pour générer des SBOM complets à l'aide de Syft, permettant le suivi des vulnérabilités, la conformité des licences et la provenance sécurisée des logiciels.
支援: Claude Codex Code(CC)
1
下載技能 ZIP
2
在 Claude 中上傳
前往 設定 → 功能 → 技能 → 上傳技能
3
開啟並開始使用
測試它
正在使用「sbom-syft」。 Generate a CycloneDX SBOM for alpine:latest
預期結果:
- SBOM généré pour alpine:latest
- 1 paquet trouvé : alpine-baselayout (3.14.0)
- Format : CycloneDX JSON
- Sortie enregistrée dans : sbom-cyclonedx.json
- Compatible avec : Grype, Trivy, Dependency Track
正在使用「sbom-syft」。 Scan my project directory for Python packages
預期結果:
- Analyse du répertoire : /project
- 45 paquets trouvés dans 3 écosystèmes
- Python : flask (2.3.0), requests (2.31.0), pytest (7.4.0)
- Sortie : spdx-json=sbom.json
- Résumé des licences : MIT (20), Apache-2.0 (15), GPL-3.0 (10)
安全審計
安全v5 • 1/16/2026
Documentation-only skill providing SBOM generation guidance using Syft CLI tool. No executable code exists in this skill. Static scanner flagged patterns within markdown documentation and YAML templates containing example commands, CI/CD workflows, and security rule templates. All findings are false positives since this skill only contains documentation and templates for legitimate supply chain security workflows.
6
已掃描檔案
2,228
分析行數
5
發現項
5
審計總數
風險因素
⚙️ 外部命令 (110)
assets/ci-config-template.yml:298 assets/ci-config-template.yml:301 assets/ci-config-template.yml:304 assets/ci-config-template.yml:307 assets/ci-config-template.yml:310 assets/ci-config-template.yml:134 assets/ci-config-template.yml:250 assets/ci-config-template.yml:291 references/EXAMPLE.md:54-74 references/EXAMPLE.md:74-95 references/EXAMPLE.md:95-108 references/EXAMPLE.md:108-111 references/EXAMPLE.md:111-118 references/EXAMPLE.md:118-122 references/EXAMPLE.md:122-129 references/EXAMPLE.md:129-135 references/EXAMPLE.md:135-151 references/EXAMPLE.md:151-154 references/EXAMPLE.md:154-162 references/EXAMPLE.md:162-296 references/EXAMPLE.md:296-306 references/EXAMPLE.md:306-309 references/EXAMPLE.md:309-318 references/EXAMPLE.md:318-333 references/EXAMPLE.md:333-342 references/EXAMPLE.md:342-346 references/EXAMPLE.md:346-354 references/EXAMPLE.md:354-358 references/EXAMPLE.md:358-361 references/EXAMPLE.md:361-371 references/EXAMPLE.md:371-404 references/EXAMPLE.md:404-414 references/EXAMPLE.md:414-447 references/EXAMPLE.md:447-451 references/EXAMPLE.md:451-472 references/EXAMPLE.md:472-476 references/EXAMPLE.md:476-537 references/WORKFLOW_CHECKLIST.md:74 SKILL.md:41-52 SKILL.md:52-62 SKILL.md:62-64 SKILL.md:64-66 SKILL.md:66-71 SKILL.md:71-95 SKILL.md:95-97 SKILL.md:97-100 SKILL.md:100-109 SKILL.md:109-111 SKILL.md:111-113 SKILL.md:113-115 SKILL.md:115-131 SKILL.md:131-139 SKILL.md:139-141 SKILL.md:141-143 SKILL.md:143-145 SKILL.md:145-147 SKILL.md:147-149 SKILL.md:149-151 SKILL.md:151-160 SKILL.md:160-161 SKILL.md:161-162 SKILL.md:162-163 SKILL.md:163-164 SKILL.md:164-165 SKILL.md:165-166 SKILL.md:166-167 SKILL.md:167-169 SKILL.md:169-170 SKILL.md:170-172 SKILL.md:172-176 SKILL.md:176-178 SKILL.md:178-209 SKILL.md:209-217 SKILL.md:217-224 SKILL.md:224-230 SKILL.md:230-243 SKILL.md:243-249 SKILL.md:249-258 SKILL.md:258-264 SKILL.md:264-272 SKILL.md:272-278 SKILL.md:278-290 SKILL.md:290-305 SKILL.md:305-318 SKILL.md:318-321 SKILL.md:321-329 SKILL.md:329-332 SKILL.md:332-339 SKILL.md:339-345 SKILL.md:345-349 SKILL.md:349-355 SKILL.md:355-361 SKILL.md:361-369 SKILL.md:369-379 SKILL.md:379-385 SKILL.md:385-391 SKILL.md:391-397 SKILL.md:397-404 SKILL.md:404-411 SKILL.md:411-413 SKILL.md:413-420 SKILL.md:420-424 SKILL.md:424-429 SKILL.md:429-438 SKILL.md:438-443 SKILL.md:443-448 SKILL.md:448-454 SKILL.md:454-466 SKILL.md:43 SKILL.md:41-52
🌐 網路存取 (25)
assets/ci-config-template.yml:240 assets/rule-template.yaml:43 assets/rule-template.yaml:44 assets/rule-template.yaml:45 assets/rule-template.yaml:73 assets/rule-template.yaml:118 assets/rule-template.yaml:119 assets/rule-template.yaml:151 assets/rule-template.yaml:191 assets/rule-template.yaml:192 assets/rule-template.yaml:193 assets/rule-template.yaml:217 assets/rule-template.yaml:260 assets/rule-template.yaml:261 assets/rule-template.yaml:288 skill-report.json:6 SKILL.md:19 SKILL.md:20 SKILL.md:136 SKILL.md:487 SKILL.md:488 SKILL.md:489 SKILL.md:490 SKILL.md:491 SKILL.md:492
📁 檔案系統存取 (4)
🔑 環境變數 (27)
assets/ci-config-template.yml:164 assets/ci-config-template.yml:164 assets/rule-template.yaml:148 assets/rule-template.yaml:148 assets/rule-template.yaml:147 assets/rule-template.yaml:162 assets/rule-template.yaml:132 assets/rule-template.yaml:147 assets/rule-template.yaml:148 assets/rule-template.yaml:156 assets/rule-template.yaml:157 assets/rule-template.yaml:162 assets/rule-template.yaml:162 assets/rule-template.yaml:163 assets/rule-template.yaml:164 assets/rule-template.yaml:165 references/EXAMPLE.md:423 references/EXAMPLE.md:423 references/EXAMPLE.md:423 references/EXAMPLE.md:424 references/EXAMPLE.md:425 references/EXAMPLE.md:427 references/EXAMPLE.md:430 references/EXAMPLE.md:432 references/EXAMPLE.md:437 references/EXAMPLE.md:437 references/EXAMPLE.md:444
審計者: claude 查看審計歷史 →
品質評分
55
架構
100
可維護性
85
內容
21
社群
100
安全
100
規範符合性
你能建構什麼
Intégration de pipeline CI/CD
Automatiser la génération de SBOM dans les pipelines de build pour chaque publication de conteneur
Suivi des vulnérabilités
Générer des SBOM pour identifier tous les composants dans les images de conteneurs pour les scanners
Conformité des licences
Extraire et suivre les informations de licence pour toutes les dépendances à des fins de conformité
試試這些提示
SBOM de conteneur de base
Generate a CycloneDX SBOM for the nginx:latest container image using Syft
Analyse du système de fichiers
Scan the /app directory and generate an SPDX-formatted SBOM for Python dependencies
Sortie multi-format
Generate SBOMs in all three formats (CycloneDX, SPDX, Syft JSON) for myapp:v2.0
Intégration de pipeline
Create a GitHub Actions workflow that builds, generates an SBOM, and scans with Grype
最佳實務
- Générer les SBOM au moment du build et les stocker aux côtés des images de conteneurs pour la traçabilité
- Utiliser des attestations signées avec cosign pour vérifier l'intégrité du SBOM et empêcher toute altération
- Intégrer la génération de SBOM dans le CI/CD pour garantir que chaque publication dispose d'une provenance logicielle complète
避免
- Générer des SBOM uniquement après un incident de sécurité au lieu de le faire de manière proactive au moment du build
- Stocker les SBOM dans des emplacements non sécurisés où ils pourraient être modifiés par des attaquants
- Utiliser un seul format SBOM alors que les outils de votre pipeline prennent en charge plusieurs formats
常見問題
Quels formats SBOM Syft prend-il en charge ?
Syft prend en charge CycloneDX JSON/XML, SPDX JSON/tag-value, Syft JSON, GitHub JSON et des modèles personnalisés.
Quels écosystèmes Syft peut-il analyser ?
Syft prend en charge plus de 28 écosystèmes, notamment Python, JavaScript, Go, Java, Ruby, Rust, PHP, .NET et bien d'autres.
Syft peut-il analyser les conteneurs en cours d'exécution ?
Non, Syft analyse les images ou les systèmes de fichiers. Utilisez docker save ou analysez le contenu du répertoire pour les conteneurs en cours d'exécution.
Les données SBOM peuvent-elles être partagées en toute sécurité ?
Les SBOM contiennent des noms et versions de paquets mais peuvent exposer des détails internes. Partagez uniquement avec des parties de confiance.
Pourquoi des paquets manquent-ils dans mon SBOM ?
Essayez d'analyser avec --scope all-layers ou vérifiez que les fichiers du gestionnaire de paquets existent dans l'image.
Comment Syft se compare-t-il à Trivy ?
Syft génère des SBOM tandis que Trivy analyse les vulnérabilités. Ils fonctionnent bien ensemble : Syft crée le SBOM, Trivy l'analyse.