MASTG-TECH-0130: 通过创建 SBOM 对 Android 依赖项进行软件组成分析 (SCA)

可以使用 cdxgen 以 CycloneDX 格式创建所谓的软件物料清单 (SBOM)。导航到要扫描的 Android Studio 项目的根目录并执行以下命令

$ cdxgen -t java -o sbom.json

创建的 SBOM 文件需要进行 Base64 编码，然后可以将其上传到 dependency-track 以进行分析

$ cat sbom.json | base64
$ curl -X "PUT" "https://:8081/api/v1/bom" \
     -H 'Content-Type: application/json' \
     -H 'X-API-Key: <YOUR API KEY>>' \
     -d $'{
  "project": "<YOUR PROJECT ID>",
  "bom": "<BASE64-ENCODED SBOM>"
  }'

转到 dependency-check 的前端，如果您使用的是 dependency-track docker 容器的默认设置，则为 https://:8080。打开您上传 SBOM 的项目，您可以验证是否存在任何易受攻击的依赖项。

注意： dependency-track 支持Java 和 Kotlin 的传递依赖项。