MASTG-TECH-0130: Análise de Composição de Software (SCA) de Dependências Android através da Criação de uma SBOM

cdxgen pode ser usado para criar uma chamada Lista de Materiais de Software (SBOM) no formato CycloneDX. Navegue até o diretório raiz do projeto do Android Studio que deseja analisar e execute o seguinte comando:

$ cdxgen -t java -o sbom.json

O arquivo SBOM criado precisa ser codificado em Base64 e pode então ser enviado para rastreamento de dependências para análise:

$ cat sbom.json | base64
$ curl -X "PUT" "http://localhost:8081/api/v1/bom" \
     -H 'Content-Type: application/json' \
     -H 'X-API-Key: <SUA CHAVE API>' \
     -d $'{
  "project": "<SEU ID DE PROJETO>",
  "bom": "<SBOM CODIFICADO EM BASE64>"
  }'

Acesse o frontend do dependency-check, que está em http://localhost:8080, se estiver usando as configurações padrão do contêiner Docker do dependency-track. Abra o projeto para o qual você enviou o SBOM e verifique se há dependências vulneráveis.

Observação: Dependências transitivas são suportadas pelo rastreamento de dependências para Java e Kotlin.