syft是一个CLI工具和Go库,用于从容器镜像和文件系统生成软件物料清单(SBOM)。当与grype这样的扫描工具一起使用时,对漏洞的检测非常出色。
特性:
编目容器镜像和文件系统以发现包和库。支持来自各种生态系统的包和库(APK、DEB、RPM、RubyBundles、PythonWheel/Egg/requirements.txt、JavaScriptNPM/Yarn、JavaJAR/EAR/WAR、Jenkins插件JPI/HPI、Go模块)Linux发行版识别(支持Alpine、BusyBox、CentOS/RedHat、Debian/Ubuntu风格的发行版)支持Docker和OCI镜像格式直接支持 grype,一个快速而强大的漏洞匹配器。
评论