cyclonedx/cyclonedx-gomod

CycloneDX Go模块SBOM生成工具镜像

镜像概述

本镜像是一个容器化工具，专为Go模块（Go Modules）项目生成符合CycloneDX标准的软件物料清单（Software Bill of Materials, SBOM）。CycloneDX是由OWASP维护的轻量级SBOM规范，旨在提供软件组件、依赖关系及相关元数据的结构化表示，助力软件供应链透明度、安全性与合规性管理。

核心功能与特性

• Go模块深度支持：原生解析Go项目的go.mod和go.sum文件，准确提取项目依赖树
• CycloneDX标准兼容：生成符合CycloneDX规范（支持v1.4+版本）的SBOM文档
• 多格式输出：支持JSON和XML两种输出格式，满足不同工具集成需求
• 全面元数据提取：自动采集依赖组件的名称、版本、许可证、PURL（Package URL）、校验和等关键信息
• 轻量级设计：基于精简基础镜像构建，体积小巧，启动快速，适合CI/CD流水线集成

使用场景

• 软件供应链安全审计：为Go项目生成SBOM，辅助识别依赖组件中的安全漏洞或***软件
• 合规性管理：满足行业***（如NIST SP 800-161、欧盟CSA等）对软件物料清单的提交要求
• 依赖治理：可视化项目依赖关系，识别冗余、过时或存在许可证风险的依赖组件
• CI/CD自动化：集成到持续集成流程中，实现SBOM的自动生成与版本跟踪

使用方法

基本使用流程

1. 确保本地Go项目已初始化模块（包含go.mod和go.sum文件）
2. 通过docker run命令挂载项目目录并执行SBOM生成

生成JSON格式SBOM

bash
docker run --rm -v /path/to/your/go/project:/app cyclonedx-gomod-sbom:latest \
  -dir /app \
  -output /app/sbom.json \
  -format json

生成XML格式SBOM

bash
docker run --rm -v $(pwd):/app cyclonedx-gomod-sbom:latest \
  -dir /app \
  -output /app/sbom.xml \
  -format xml

包含开发依赖

默认仅提取生产依赖，添加-include-dev参数可包含tools.go或go.mod中标记的开发依赖：

bash
docker run --rm -v $(pwd):/app cyclonedx-gomod-sbom:latest \
  -dir /app \
  -output /app/sbom-with-dev.json \
  -format json \
  -include-dev

配置参数

注意事项

• 依赖解析需要有效的go.mod和go.sum文件，建议运行前执行go mod tidy确保依赖完整性
• 容器需对挂载目录有读写权限，本地目录权限不足时可添加-u $(id -u):$(id -g)参数指定用户
• 大型项目首次运行可能需要下载依赖（通过go mod download），建议预先缓存依赖以加速生成过程
• 输出文件将保存至本地挂载目录，可直接用于SBOM分析工具（如CycloneDX CLI、Dependency-Check等）进一步处理