cli.github.com<\/a><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\nTambi\u00e9n necesitas una cuenta de GitHub<\/strong> con acceso a GitHub Container Registry (GHCR), y una aplicaci\u00f3n b\u00e1sica con un Dockerfile<\/code>.<\/p>\nConfiguraci\u00f3n del Entorno<\/h2>\n
Crearemos una aplicaci\u00f3n m\u00ednima de Node.js, la contenedorizaremos y la subiremos a GHCR. Esta imagen se convierte en el objetivo de todos los ejercicios posteriores de SBOM.<\/p>\n
Paso 1: Crear el repositorio de prueba<\/h3>\nmkdir sbom-pipeline-lab && cd sbom-pipeline-lab\ngit init\n<\/code><\/pre>\nPaso 2: Crear una aplicaci\u00f3n simple de Node.js<\/h3>\ncat > package.json <<'EOF'\n{\n \"name\": \"sbom-lab-app\",\n \"version\": \"1.0.0\",\n \"description\": \"SBOM pipeline lab application\",\n \"main\": \"server.js\",\n \"dependencies\": {\n \"express\": \"^4.18.2\",\n \"lodash\": \"^4.17.21\",\n \"axios\": \"^1.6.0\"\n }\n}\nEOF\n<\/code><\/pre>\ncat > server.js <<'EOF'\nconst express = require('express');\nconst app = express();\n\napp.get('\/', (req, res) => {\n res.json({ status: 'ok', message: 'SBOM Pipeline Lab' });\n});\n\napp.listen(3000, () => console.log('Listening on port 3000'));\nEOF\n<\/code><\/pre>\nPaso 3: Crear el Dockerfile<\/h3>\nFROM node:20-alpine\nWORKDIR \/app\nCOPY package*.json .\/\nRUN npm install --production\nCOPY . .\nEXPOSE 3000\nCMD [\"node\", \"server.js\"]\n<\/code><\/pre>\nPaso 4: Construir y subir la imagen del contenedor<\/h3>\n# Authenticate to GHCR\necho $GITHUB_TOKEN | docker login ghcr.io -u YOUR_GITHUB_USERNAME --password-stdin\n\n# Build the image\ndocker build -t ghcr.io\/YOUR_GITHUB_USERNAME\/sbom-lab-app:v1.0.0 .\n\n# Push to GHCR\ndocker push ghcr.io\/YOUR_GITHUB_USERNAME\/sbom-lab-app:v1.0.0\n<\/code><\/pre>\nReemplaza YOUR_GITHUB_USERNAME<\/code> con tu nombre de usuario real de GitHub a lo largo de este laboratorio. Una vez completada la subida, anota el digest completo de la imagen \u2014 lo necesitar\u00e1s para las operaciones de firma.<\/p>\n# Capture the image digest\nexport IMAGE=$(docker inspect --format='{{index .RepoDigests 0}}' ghcr.io\/YOUR_GITHUB_USERNAME\/sbom-lab-app:v1.0.0)\necho $IMAGE\n# Output: ghcr.io\/YOUR_GITHUB_USERNAME\/sbom-lab-app@sha256:abc123...\n<\/code><\/pre>\nEjercicio 1: Generar SBOM con Syft<\/h2>\n
Syft es una herramienta de c\u00f3digo abierto de Anchore que genera SBOMs analizando im\u00e1genes de contenedores, sistemas de archivos y archivos comprimidos. Soporta m\u00faltiples formatos de salida incluyendo SPDX y CycloneDX \u2014 los dos est\u00e1ndares de SBOM dominantes.<\/p>\n
Generar un SBOM en formato SPDX<\/h3>\nsyft $IMAGE -o spdx-json=sbom.spdx.json\n<\/code><\/pre>\nInspecciona la salida:<\/p>\n
cat sbom.spdx.json | jq '.packages | length'\n# Output: 287 (count varies based on image content)\n\n# View detected packages\ncat sbom.spdx.json | jq '.packages[] | {name: .name, version: .versionInfo, license: .licenseDeclared}' | head -40\n<\/code><\/pre>\nGenerar un SBOM en formato CycloneDX<\/h3>\nsyft $IMAGE -o cyclonedx-json=sbom.cyclonedx.json\n<\/code><\/pre>\nInspecciona la salida de CycloneDX:<\/p>\n
cat sbom.cyclonedx.json | jq '.components | length'\n\n# View components with licenses\ncat sbom.cyclonedx.json | jq '.components[] | {name: .name, version: .version, type: .type}' | head -40\n<\/code><\/pre>\nSPDX vs. CycloneDX: Diferencias Clave<\/h3>\n
\n\n\n| Caracter\u00edstica<\/th>\n | SPDX<\/th>\n | CycloneDX<\/th>\n<\/tr>\n<\/thead>\n |
\n\nOrigen<\/strong><\/td>\n| Linux Foundation<\/td>\n | OWASP<\/td>\n<\/tr>\n | \nEnfoque Principal<\/strong><\/td>\n| Cumplimiento de licencias y PI<\/td>\n | Seguridad y an\u00e1lisis de riesgos<\/td>\n<\/tr>\n | \nEst\u00e1ndar ISO<\/strong><\/td>\n| ISO\/IEC 5962:2021<\/td>\n | ECMA-424<\/td>\n<\/tr>\n | \nDatos de Vulnerabilidades<\/strong><\/td>\n| Soporte nativo limitado<\/td>\n | Campo vulnerabilities<\/code> de primera clase<\/td>\n<\/tr>\n\nFormatos<\/strong><\/td>\n| JSON, RDF, XML, YAML, tag-value<\/td>\n | JSON, XML, Protobuf<\/td>\n<\/tr>\n | \nMejor Para<\/strong><\/td>\n| Cumplimiento regulatorio, auditor\u00edas de licencias<\/td>\n | DevSecOps, seguimiento de vulnerabilidades<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n Para este laboratorio, usamos principalmente SPDX JSON porque es el formato requerido por muchos est\u00e1ndares de adquisici\u00f3n gubernamental y se integra bien con las attestations de Cosign. Sin embargo, ambos formatos son compatibles con Grype y Cosign.<\/p>\n Generar un resumen legible por humanos<\/h3>\nsyft $IMAGE -o syft-table\n<\/code><\/pre>\nEsto imprime una tabla de todos los paquetes con nombre, versi\u00f3n y tipo \u2014 \u00fatil para una revisi\u00f3n r\u00e1pida durante el desarrollo.<\/p>\n Ejercicio 2: Escanear SBOM en Busca de Vulnerabilidades con Grype<\/h2>\nGrype es el esc\u00e1ner de vulnerabilidades de Anchore. Puede escanear im\u00e1genes de contenedores directamente, pero tambi\u00e9n puede escanear un archivo SBOM \u2014 lo cual es significativamente m\u00e1s r\u00e1pido porque omite el paso de an\u00e1lisis de la imagen.<\/p>\n Escanear el SBOM<\/h3>\ngrype sbom:.\/sbom.spdx.json\n<\/code><\/pre>\nSalida de ejemplo:<\/p>\n NAME INSTALLED FIXED-IN TYPE VULNERABILITY SEVERITY\nlodash 4.17.21 npm CVE-2025-XXXXX Medium\nnode 20.10.0 20.11.1 apk CVE-2024-22019 High\nlibcrypto3 3.1.4-r1 3.1.4-r3 apk CVE-2024-0727 Medium\n<\/code><\/pre>\nFiltrar por severidad<\/h3>\n# Show only Critical and High vulnerabilities\ngrype sbom:.\/sbom.spdx.json --fail-on critical\n\n# Output results in JSON for CI processing\ngrype sbom:.\/sbom.spdx.json -o json > vulnerabilities.json\n\n# Count vulnerabilities by severity\ncat vulnerabilities.json | jq '[.matches[].vulnerability.severity] | group_by(.) | map({severity: .[0], count: length})'\n<\/code><\/pre>\nEscaneo de imagen vs. escaneo de SBOM<\/h3>\nExiste una distinci\u00f3n importante entre escanear la imagen directamente y escanear el SBOM:<\/p>\n # Direct image scan \u2014 Grype pulls and analyzes the image layers\ngrype $IMAGE\n\n# SBOM scan \u2014 Grype reads the pre-generated package list\ngrype sbom:.\/sbom.spdx.json\n<\/code><\/pre>\n\n\n\n| Enfoque<\/th>\n | Velocidad<\/th>\n | Precisi\u00f3n<\/th>\n | Caso de Uso<\/th>\n<\/tr>\n<\/thead>\n | \n\n| Escaneo directo de imagen<\/td>\n | M\u00e1s lento (descarga capas)<\/td>\n | Descubre todos los paquetes<\/td>\n | Primer an\u00e1lisis, desarrollo local<\/td>\n<\/tr>\n | \n| Escaneo de SBOM<\/td>\n | R\u00e1pido (lee archivo JSON)<\/td>\n | Limitado al contenido del SBOM<\/td>\n | Pipelines de CI, escaneos repetidos, auditor\u00eda<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n El escaneo de SBOM es tan completo como el propio SBOM. Si Syft omiti\u00f3 un paquete (por ejemplo, un binario compilado est\u00e1ticamente), Grype no encontrar\u00e1 vulnerabilidades para \u00e9l. Para m\u00e1xima cobertura, genera el SBOM con la opci\u00f3n --catalogers all<\/code> de Syft.<\/p>\nEjercicio 3: Adjuntar SBOM como Attestation de Cosign<\/h2>\nUna attestation es una declaraci\u00f3n firmada sobre un artefacto de software. Al adjuntar el SBOM como attestation, vinculas criptogr\u00e1ficamente el SBOM al digest espec\u00edfico de la imagen \u2014 cualquiera puede verificar que el SBOM fue producido para esa imagen exacta y no ha sido alterado.<\/p>\n Adjuntar la attestation del SBOM<\/h3>\nUsando el flujo keyless (Sigstore Fulcio) de Cosign:<\/p>\n cosign attest --predicate sbom.spdx.json \\\n --type spdxjson \\\n --yes \\\n $IMAGE\n<\/code><\/pre>\nEste comando:<\/p>\n \n- Abre un navegador para autenticaci\u00f3n OIDC (firma keyless v\u00eda Fulcio)<\/li>\n
- Crea una attestation in-toto con tu SBOM como predicado<\/li>\n
- Firma la attestation y la registra en el log de transparencia Rekor<\/li>\n
- Sube la attestation al registry junto con la imagen<\/li>\n<\/ol>\n
|
| | | | | | | |