技能 sbom-syft
📦

sbom-syft

安全 ⚙️ 外部命令🌐 網路存取📁 檔案系統存取🔑 環境變數⚡ 包含腳本

Syft로 소프트웨어 자재 명세서 생성하기

소프트웨어 공급망 공격이 증가하고 있습니다. 조직은 소프트웨어 종속성에 대한 가시성이 필요합니다. 이 스킬은 Syft를 사용하여 포괄적인 SBOM을 생성하는 단계별 가이드를 제공하며, 취약점 추적, 라이선스 준수 및 안전한 소프트웨어 출처 증명을 가능하게 합니다.

支援: Claude Codex Code(CC)
🥉 75 青銅
1

下載技能 ZIP

2

在 Claude 中上傳

前往 設定 → 功能 → 技能 → 上傳技能

3

開啟並開始使用

測試它

正在使用「sbom-syft」。 alpine:latest에 대한 CycloneDX SBOM을 생성하세요

預期結果:

  • alpine:latest에 대한 SBOM이 생성되었습니다
  • 1개의 패키지를 찾았습니다: alpine-baselayout (3.14.0)
  • 형식: CycloneDX JSON
  • 출력 저장 위치: sbom-cyclonedx.json
  • 호환 가능: Grype, Trivy, Dependency Track

正在使用「sbom-syft」。 내 프로젝트 디렉토리에서 Python 패키지를 스캔하세요

預期結果:

  • 디렉토리 스캔 중: /project
  • 3개 생태계에서 45개의 패키지를 찾았습니다
  • Python: flask (2.3.0), requests (2.31.0), pytest (7.4.0)
  • 출력: spdx-json=sbom.json
  • 라이선스 요약: MIT (20), Apache-2.0 (15), GPL-3.0 (10)

安全審計

安全
v5 • 1/16/2026

Documentation-only skill providing SBOM generation guidance using Syft CLI tool. No executable code exists in this skill. Static scanner flagged patterns within markdown documentation and YAML templates containing example commands, CI/CD workflows, and security rule templates. All findings are false positives since this skill only contains documentation and templates for legitimate supply chain security workflows.

6
已掃描檔案
2,228
分析行數
5
發現項
5
審計總數

風險因素

⚙️ 外部命令 (110)
assets/ci-config-template.yml:298 assets/ci-config-template.yml:301 assets/ci-config-template.yml:304 assets/ci-config-template.yml:307 assets/ci-config-template.yml:310 assets/ci-config-template.yml:134 assets/ci-config-template.yml:250 assets/ci-config-template.yml:291 references/EXAMPLE.md:54-74 references/EXAMPLE.md:74-95 references/EXAMPLE.md:95-108 references/EXAMPLE.md:108-111 references/EXAMPLE.md:111-118 references/EXAMPLE.md:118-122 references/EXAMPLE.md:122-129 references/EXAMPLE.md:129-135 references/EXAMPLE.md:135-151 references/EXAMPLE.md:151-154 references/EXAMPLE.md:154-162 references/EXAMPLE.md:162-296 references/EXAMPLE.md:296-306 references/EXAMPLE.md:306-309 references/EXAMPLE.md:309-318 references/EXAMPLE.md:318-333 references/EXAMPLE.md:333-342 references/EXAMPLE.md:342-346 references/EXAMPLE.md:346-354 references/EXAMPLE.md:354-358 references/EXAMPLE.md:358-361 references/EXAMPLE.md:361-371 references/EXAMPLE.md:371-404 references/EXAMPLE.md:404-414 references/EXAMPLE.md:414-447 references/EXAMPLE.md:447-451 references/EXAMPLE.md:451-472 references/EXAMPLE.md:472-476 references/EXAMPLE.md:476-537 references/WORKFLOW_CHECKLIST.md:74 SKILL.md:41-52 SKILL.md:52-62 SKILL.md:62-64 SKILL.md:64-66 SKILL.md:66-71 SKILL.md:71-95 SKILL.md:95-97 SKILL.md:97-100 SKILL.md:100-109 SKILL.md:109-111 SKILL.md:111-113 SKILL.md:113-115 SKILL.md:115-131 SKILL.md:131-139 SKILL.md:139-141 SKILL.md:141-143 SKILL.md:143-145 SKILL.md:145-147 SKILL.md:147-149 SKILL.md:149-151 SKILL.md:151-160 SKILL.md:160-161 SKILL.md:161-162 SKILL.md:162-163 SKILL.md:163-164 SKILL.md:164-165 SKILL.md:165-166 SKILL.md:166-167 SKILL.md:167-169 SKILL.md:169-170 SKILL.md:170-172 SKILL.md:172-176 SKILL.md:176-178 SKILL.md:178-209 SKILL.md:209-217 SKILL.md:217-224 SKILL.md:224-230 SKILL.md:230-243 SKILL.md:243-249 SKILL.md:249-258 SKILL.md:258-264 SKILL.md:264-272 SKILL.md:272-278 SKILL.md:278-290 SKILL.md:290-305 SKILL.md:305-318 SKILL.md:318-321 SKILL.md:321-329 SKILL.md:329-332 SKILL.md:332-339 SKILL.md:339-345 SKILL.md:345-349 SKILL.md:349-355 SKILL.md:355-361 SKILL.md:361-369 SKILL.md:369-379 SKILL.md:379-385 SKILL.md:385-391 SKILL.md:391-397 SKILL.md:397-404 SKILL.md:404-411 SKILL.md:411-413 SKILL.md:413-420 SKILL.md:420-424 SKILL.md:424-429 SKILL.md:429-438 SKILL.md:438-443 SKILL.md:443-448 SKILL.md:448-454 SKILL.md:454-466 SKILL.md:43 SKILL.md:41-52
🌐 網路存取 (25)
assets/ci-config-template.yml:240 assets/rule-template.yaml:43 assets/rule-template.yaml:44 assets/rule-template.yaml:45 assets/rule-template.yaml:73 assets/rule-template.yaml:118 assets/rule-template.yaml:119 assets/rule-template.yaml:151 assets/rule-template.yaml:191 assets/rule-template.yaml:192 assets/rule-template.yaml:193 assets/rule-template.yaml:217 assets/rule-template.yaml:260 assets/rule-template.yaml:261 assets/rule-template.yaml:288 skill-report.json:6 SKILL.md:19 SKILL.md:20 SKILL.md:136 SKILL.md:487 SKILL.md:488 SKILL.md:489 SKILL.md:490 SKILL.md:491 SKILL.md:492
📁 檔案系統存取 (4)
assets/ci-config-template.yml:323 assets/ci-config-template.yml:323 SKILL.md:193 SKILL.md:437
🔑 環境變數 (27)
assets/ci-config-template.yml:164 assets/ci-config-template.yml:164 assets/rule-template.yaml:148 assets/rule-template.yaml:148 assets/rule-template.yaml:147 assets/rule-template.yaml:162 assets/rule-template.yaml:132 assets/rule-template.yaml:147 assets/rule-template.yaml:148 assets/rule-template.yaml:156 assets/rule-template.yaml:157 assets/rule-template.yaml:162 assets/rule-template.yaml:162 assets/rule-template.yaml:163 assets/rule-template.yaml:164 assets/rule-template.yaml:165 references/EXAMPLE.md:423 references/EXAMPLE.md:423 references/EXAMPLE.md:423 references/EXAMPLE.md:424 references/EXAMPLE.md:425 references/EXAMPLE.md:427 references/EXAMPLE.md:430 references/EXAMPLE.md:432 references/EXAMPLE.md:437 references/EXAMPLE.md:437 references/EXAMPLE.md:444
⚡ 包含腳本 (2)
references/EXAMPLE.md:138 references/EXAMPLE.md:137
審計者: claude 查看審計歷史 →

品質評分

55
架構
100
可維護性
85
內容
21
社群
100
安全
100
規範符合性

你能建構什麼

CI/CD 파이프라인 통합

모든 컨테이너 릴리스에 대해 빌드 파이프라인에서 SBOM 생성 자동화

취약점 추적

스캐너를 위해 컨테이너 이미지의 모든 구성 요소를 식별하기 위한 SBOM 생성

라이선스 준수

준수를 위해 모든 종속성에서 라이선스 정보 추출 및 추적

試試這些提示

기본 컨테이너 SBOM 
Syft를 사용하여 nginx:latest 컨테이너 이미지에 대한 CycloneDX SBOM을 생성하세요
파일시스템 스캔 
/app 디렉토리를 스캔하고 Python 종속성에 대한 SPDX 형식의 SBOM을 생성하세요
다중 형식 출력 
myapp:v2.0에 대해 세 가지 형식(CycloneDX, SPDX, Syft JSON) 모두로 SBOM을 생성하세요
파이프라인 통합 
빌드하고, SBOM을 생성하며, Grype로 스캔하는 GitHub Actions 워크플로우를 생성하세요

最佳實務

  • 추적 가능성을 위해 빌드 시점에 SBOM을 생성하고 컨테이너 이미지와 함께 저장하세요
  • SBOM 무결성을 검증하고 변조를 방지하기 위해 cosign으로 서명된 증명을 사용하세요
  • 모든 릴리스에 완전한 소프트웨어 출처가 있도록 CI/CD에 SBOM 생성을 통합하세요

避免

  • 빌드 시점에 사전 예방적으로 생성하는 대신 보안 사고 후에만 SBOM을 생성하는 것
  • 공격자가 수정할 수 있는 안전하지 않은 위치에 SBOM을 저장하는 것
  • 파이프라인 도구가 여러 형식을 지원하는데 하나의 SBOM 형식만 사용하는 것

常見問題

Syft는 어떤 SBOM 형식을 지원하나요?
Syft는 CycloneDX JSON/XML, SPDX JSON/tag-value, Syft JSON, GitHub JSON 및 사용자 정의 템플릿을 지원합니다.
Syft는 어떤 생태계를 분석할 수 있나요?
Syft는 Python, JavaScript, Go, Java, Ruby, Rust, PHP, .NET 등을 포함한 28개 이상의 생태계를 지원합니다.
Syft가 실행 중인 컨테이너를 스캔할 수 있나요?
아니요, Syft는 이미지나 파일시스템을 분석합니다. 실행 중인 컨테이너의 경우 docker save를 사용하거나 디렉토리 콘텐츠를 스캔하세요.
SBOM 데이터를 공유해도 안전한가요?
SBOM에는 패키지 이름과 버전이 포함되어 있지만 내부 세부 정보가 노출될 수 있습니다. 신뢰할 수 있는 당사자와만 공유하세요.
내 SBOM에 패키지가 누락된 이유는 무엇인가요?
--scope all-layers로 스캔을 시도하거나 이미지에 패키지 관리자 파일이 존재하는지 확인하세요.
Syft와 Trivy를 어떻게 비교하나요?
Syft는 SBOM을 생성하고 Trivy는 취약점을 스캔합니다. 두 도구는 함께 잘 작동합니다: Syft가 SBOM을 생성하고 Trivy가 스캔합니다.

開發者詳情

授權

MIT

儲存庫

https://github.com/AgentSecOps/SecOpsAgentKit/tree/main/skills/secsdlc/sbom-syft

引用

main

檔案結構

📁 assets/

📄 ci-config-template.yml

📄 rule-template.yaml

📁 references/

📄 EXAMPLE.md

📄 WORKFLOW_CHECKLIST.md

📄 SKILL.md