cyclonedx/cyclonedx-gomod Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务
cyclonedx/cyclonedx-gomodcyclonedx
为Go模块生成CycloneDX格式软件物料清单(SBOM)的Docker镜像
下载次数: 0状态:社区镜像维护者:cyclonedx仓库类型:镜像最近更新:1 个月前
CycloneDX Go模块SBOM生成工具镜像
镜像概述
本镜像是一个容器化工具,专为Go模块(Go Modules)项目生成符合CycloneDX标准的软件物料清单(Software Bill of Materials, SBOM)。CycloneDX是由OWASP维护的轻量级SBOM规范,旨在提供软件组件、依赖关系及相关元数据的结构化表示,助力软件供应链透明度、安全性与合规性管理。
核心功能与特性
- Go模块深度支持:原生解析Go项目的
go.mod和go.sum文件,准确提取项目依赖树 - CycloneDX标准兼容:生成符合CycloneDX规范(支持v1.4+版本)的SBOM文档
- 多格式输出:支持JSON和XML两种输出格式,满足不同工具集成需求
- 全面元数据提取:自动采集依赖组件的名称、版本、许可证、PURL(Package URL)、校验和等关键信息
- 轻量级设计:基于精简基础镜像构建,体积小巧,启动快速,适合CI/CD流水线集成
使用场景
- 软件供应链安全审计:为Go项目生成SBOM,辅助识别依赖组件中的安全漏洞或***软件
- 合规性管理:满足行业***(如NIST SP 800-161、欧盟CSA等)对软件物料清单的提交要求
- 依赖治理:可视化项目依赖关系,识别冗余、过时或存在许可证风险的依赖组件
- CI/CD自动化:集成到持续集成流程中,实现SBOM的自动生成与版本跟踪
使用方法
基本使用流程
- 确保本地Go项目已初始化模块(包含
go.mod和go.sum文件) - 通过
docker run命令挂载项目目录并执行SBOM生成
生成JSON格式SBOM
bashdocker run --rm -v /path/to/your/go/project:/app cyclonedx-gomod-sbom:latest \ -dir /app \ -output /app/sbom.json \ -format json
生成XML格式SBOM
bashdocker run --rm -v $(pwd):/app cyclonedx-gomod-sbom:latest \ -dir /app \ -output /app/sbom.xml \ -format xml
包含开发依赖
默认仅提取生产依赖,添加-include-dev参数可包含tools.go或go.mod中标记的开发依赖:
bashdocker run --rm -v $(pwd):/app cyclonedx-gomod-sbom:latest \ -dir /app \ -output /app/sbom-with-dev.json \ -format json \ -include-dev
配置参数
| 参数名 | 描述 | 可选值 | 默认值 |
|---|---|---|---|
-dir | Go项目根目录(容器内路径,需与挂载路径对应) | 容器内有效路径 | /app |
-output | SBOM输出文件路径(容器内路径,映射至本地挂载目录) | 任意可写路径 | sbom.json |
-format | 输出格式 | json, xml | json |
-include-dev | 是否包含开发依赖(如// +build tools标记的工具依赖) | true, false | false |
-schema-version | 指定CycloneDX schema版本 | v1.4, v1.5, v1.6 | v1.4 |
-exclude-test | 是否排除测试依赖 | true, false | true |
注意事项
- 依赖解析需要有效的
go.mod和go.sum文件,建议运行前执行go mod tidy确保依赖完整性 - 容器需对挂载目录有读写权限,本地目录权限不足时可添加
-u $(id -u):$(id -g)参数指定用户 - 大型项目首次运行可能需要下载依赖(通过
go mod download),建议预先缓存依赖以加速生成过程 - 输出文件将保存至本地挂载目录,可直接用于SBOM分析工具(如CycloneDX CLI、Dependency-Check等)进一步处理
gomods/athens
gomods
Athens代理 - 详见https://docs.gomods.io
25 次收藏500万+ 次下载
14 天前更新
hugomods/hugo
hugomods
最小化、最新且自动化的社区版Hugo(gohugo.io)Docker镜像,提供多种变体。
16 次收藏100万+ 次下载
9 天前更新
gomods/athens-dev
gomods
Athens的开发镜像,包含master分支每次提交的时间点标签,用于获取未发布功能,可能不稳定。
1万+ 次下载
14 天前更新
cyclonedx/cyclonedx-cli
cyclonedx
CycloneDX CLI是一款多功能实用工具,用于查看、转换SBOM(软件物料清单)并对其执行各类操作。
1 次收藏100万+ 次下载
1 个月前更新
cyclonedx/cyclonedx-python
cyclonedx
从Python项目创建CycloneDX软件物料清单(SBOM),汇总所有项目依赖项,遵循轻量级、机器可读且易于解析的CycloneDX规范。
1 次收藏10万+ 次下载
25 天前更新
cyclonedx/cyclonedx-dotnet
cyclonedx
从.NET Core项目生成CycloneDX软件物料清单(SBOM)
5万+ 次下载
1 个月前更新
镜像拉取常见问题
使用与功能问题
错误码与失败问题
manifest unknown 错误:镜像不存在或标签错误
manifest unknown 错误
TLS/SSL 证书验证失败:Docker pull 时 HTTPS 证书错误
TLS 证书验证失败
DNS 解析超时:无法解析镜像仓库地址或连接超时
DNS 解析超时
410 Gone 错误:Docker 版本过低导致协议不兼容
410 错误:版本过低
402 Payment Required 错误:流量耗尽错误提示
402 错误:流量耗尽
401 UNAUTHORIZED 错误:身份认证失败或登录信息错误
身份认证失败错误
429 Too Many Requests 错误:请求频率超出专业版限制
429 限流错误
Docker login 凭证保存错误:Cannot autolaunch D-Bus(不影响登录)
凭证保存错误
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"