[Перевод] Как создавать SBOM в Java с помощью Maven и Gradle
При создании приложений на Java мы сильно зависим от внешних библиотек и фреймворков. И каждый импортируемый пакет Java, скорее всего, также зависит от большего количества библиотек. Это означает, что количество Java-пакетов, включенных в ваше приложение, часто не совсем прозрачно.
Эти вложенные (транзитивные) зависимости создают проблему, заключающуюся в том, что вы как разработчик, вероятно, не знаете всех библиотек, которые на самом деле используете.
Недавно мы обсуждали, почему и как мы должны тщательно поддерживать наши зависимости. В статье Лучшие практики управления зависимостями Java я рассказал о доступных вариантах и инструментах для настройки стратегии управления зависимостями.
Но что, если вы передаете свое Java-приложение клиенту?
Как они узнают, какие зависимости включены?
Что еще важнее, как они могут проверить, не уязвимы ли эти зависимости для проблем безопасности?
Ответом является спецификация программного обеспечения SBOM (software bill of materials).
Читать далееИсточник: Хабрахабр
Похожие новости
- Обзорная экскурсия в мир сетевых контейнеров
- bit kogan: ЦБ снизил ставку — почему и что дальше?
- WAF (гав-гав): гибкая настройка пользовательских правил PT AF PRO
- Павел Сабуров: Как новичок на Ozon за месяц обогнал опытных продавцов мебели
- Absolute Zero Reasoner: ИИ научился программированию без входных данных — и это может поменять всё
- Мой начальник хочет no-code в проде. Я против — и готов уйти
- [Перевод] Как я «случайно» получил root-доступ к платёжному терминалу
- Программируя с использованием AI ты продаешь душу дьяволу
- Spark_news: Более 20% стартапов-«единорогов» с оценкой выше $1 млрд могут обанкротиться — Accel
- Наше расследование: ищем отечественные микросхемы в «отечественных» счетчиках электроэнергии. Часть 4 и снова блогер…