cks

3.17 SBOM e vulnerabilidades

Detalhamento de SBOM (Software Bill of Materials) e varredura de vulnerabilidades para o CKS.

O que é

SBOM é uma lista estruturada de componentes (pacotes, dependências) de uma imagem ou aplicação. Formatos comuns: SPDX e CycloneDX. No CKS você pode usar bom (SPDX) e Trivy (CycloneDX + scan de vulnerabilidades) para gerar SBOM e validar imagens ou SBOMs existentes.

Documentação / recursos

• bom (BOM – SPDX)
• Trivy

• SPDX

  CycloneDX

bom (SPDX)

Gera SBOM no formato SPDX a partir de uma imagem:

bom generate --image <image> --format json --output sbom.json

• –image: imagem container (ex.: nginx:1.21, myreg.io/app:v1).
• –format: json (ou outro suportado).
• –output: arquivo de saída.

Trivy (CycloneDX e scan)

Gerar SBOM (CycloneDX):

trivy image --format cyclonedx --output sbom2.json <image>

Escanear imagem (vulnerabilidades):

trivy image <image>
trivy image --severity HIGH,CRITICAL <image>

Escanear um arquivo SBOM existente:

trivy sbom sbom_check.json --format json --output sbom_check_result.json

Ou apenas exibir no terminal:

trivy sbom sbom_check.json

Fluxo típico no exame

1. Gerar SBOM da imagem: bom generate ... ou trivy image --format cyclonedx ....
2. Se o enunciado der um SBOM para validar: trivy sbom <arquivo> --format json --output <resultado>.
3. Para listar vulnerabilidades: trivy image <image> ou trivy sbom <arquivo>.

Resumo para o exame

• bom: bom generate --image <image> --format json --output sbom.json.
• Trivy SBOM: trivy image --format cyclonedx --output sbom2.json <image>.
• Trivy scan de SBOM: trivy sbom sbom_check.json --format json --output sbom_check_result.json.