docker scout sbom
| Descripción | Genera o muestra el SBOM de una imagen |
|---|---|
| Uso | docker scout sbom [IMAGE|DIRECTORY|ARCHIVE] |
Descripción
El comando docker scout sbom analiza un artefacto de software para generar una
Lista de Materiales de Software (Software Bill Of Materials - SBOM).
El SBOM contiene una lista de todos los paquetes en la imagen.
Puedes utilizar la bandera --format para filtrar la salida del comando
para mostrar únicamente paquetes de un tipo específico.
Si no se especifica ninguna imagen, se utiliza la imagen construida más recientemente.
Se admiten los siguientes tipos de artefactos:
- Imágenes
- Directorios de diseño (layout) OCI
- Archivos tarball, creados por
docker save - Directorio o archivo local
Por defecto, la herramienta espera una referencia de imagen, como:
rediscurlimages/curl:7.87.0mcr.microsoft.com/dotnet/runtime:7.0
Si el artefacto que quieres analizar es un directorio OCI, un archivo tarball, un archivo o directorio local, o si deseas controlar desde dónde se resolverá la imagen, debes anteponer la referencia con uno de los siguientes prefijos:
image://(por defecto) utiliza una imagen local o recurre a una búsqueda en el registrolocal://utiliza una imagen del almacenamiento de imágenes local (no realiza búsquedas en el registro)registry://utiliza una imagen de un registro (no utiliza una imagen local)oci-dir://utiliza un directorio de diseño OCIarchive://utiliza un archivo tarball, como los creados pordocker savefs://utiliza un directorio o archivo local
Opciones
| Opción | Predeterminado | Descripción |
|---|---|---|
--format | json | Formato de salida: - list: lista de paquetes de la imagen - json: representación JSON del SBOM - spdx: representación SPDX del SBOM - cyclonedx: representación CycloneDX del SBOM |
--only-package-type | Lista separada por comas de tipos de paquetes (como apk, deb, rpm, npm, pypi, golang, etc.) Solo se puede utilizar con --format list | |
-o, --output | Escribe el informe en un archivo | |
--platform | Plataforma de la imagen a analizar | |
--ref | Referencia a usar si el archivo tarball proporcionado contiene varias referencias. Solo se puede usar con archive |
Ejemplos
Mostrar la lista de paquetes
$ docker scout sbom --format list alpine
Mostrar solo paquetes de un tipo específico
$ docker scout sbom --format list --only-package-type apk alpine
Mostrar el SBOM completo en formato JSON
$ docker scout sbom alpine
Mostrar el SBOM completo de la imagen construida más recientemente
$ docker scout sbom
Escribir el SBOM en un archivo
$ docker scout sbom --output alpine.sbom alpine