Ich erstelle Plugins für ein Java-Projekt, das über einen Docker-Container veröffentlicht wird. Um die Plugins ordnungsgemäß testen, entwickeln und bereitstellen zu können, müssen die Abhängigkeiten während der Entwicklung dieselbe Version wie der Docker-Container haben. Ich bin bereits in der Lage, eine SBOM mit syft des Docker-Containers zu erstellen. Aber ich möchte eine Maven-bom-project-bom.pom-Datei erstellen, damit ich sie in Gradle als Abhängigkeit von der Implementierungsplattform verwenden kann.
Dies ist der syft-Befehl
Code: Select all
syft hawkbit/hawkbit-update-server -o cyclonedx-json | jq > sbom-hawkbit.json
Jetzt brauche ich eine Konvertierung in sbom-hawkbit.pom, weil ich das in meinem Notenprojekt machen möchte:
Code: Select all
dependencies {
// Import the BOM from the local file
implementation platform("my.example:sbom-hawkbit:1.0.0")
// Add dependencies managed by the BOM
implementation("com.example:lib-a")
implementation("com.example:lib-b")
}
Gibt es ein Tool zum Konvertieren der SBOM-Datei in eine project.pom-Datei?
Mobile version