Syft Software Bill of Materials (SBOM)

Syft ist ein leistungsstarkes, quelloffenes CLI-Tool und eine Bibliothek zur Erstellung eines Software Bill of Materials (SBOM) aus Containerbildern und Dateisystemen. Es wurde ursprünglich von Anchore, Inc. entwickelt, einem Unternehmen, das sich auf Containersicherheit spezialisiert hat. Das Tool bietet eine tiefgreifende Sicht auf Softwarekomponenten, einschließlich Paketen, Bibliotheken und Lizenzen, die für das Schwachstellenmanagement und die Sicherheit der Lieferkette unerlässlich sind.

Als quelloffenes Projekt wird Syft von einer globalen Gemeinschaft von Mitwirkenden entwickelt und gepflegt, obwohl der Hauptfahrplan und die kommerzielle Unterstützung von Anchore, mit Sitz in den Vereinigten Staaten, stammen. Es integriert sich nahtlos in andere DevSecOps-Tools und unterstützt verschiedene Ausgabeformate wie JSON, CycloneDX und SPDX, was es zu einem Grundpfeiler für die Transparenz moderner Software-Lieferketten macht.