MASTG-TECH-0132: Análise de Composição de Software (SCA) de dependências do iOS pela Criação de um SBOM

Você pode usar cdxgen para criar uma Lista de Materiais de Software (SBOM) no formato CycloneDX se estiver usando SwiftPM. Atualmente, Carthage e CocoaPods não são suportados. Você pode solicitar à equipe de desenvolvimento que forneça o arquivo SBOM ou criá-lo você mesmo. Para isso, navegue até o diretório raiz do projeto Xcode que deseja analisar e execute o seguinte comando:

$ cdxgen -o sbom.json

O arquivo SBOM criado precisa ser codificado em Base64 e carregado no rastreamento de dependências para análise.

$ cat sbom.json | base64
$ curl -X "PUT" "http://localhost:8081/api/v1/bom" \
     -H 'Content-Type: application/json' \
     -H 'X-API-Key: <YOUR API KEY>' \
     -d $'{
  "project": "<YOUR PROJECT ID>",
  "bom": "<BASE64-ENCODED SBOM>"
  }'

Consulte também as alternativas para carregar o arquivo SBOM caso o arquivo JSON produzido seja muito grande.

Se estiver usando as configurações padrão do contêiner Docker do Visual Studio Code (vscode), acesse o frontend do rastreamento de dependências, que está em http://localhost:8080. Abra o projeto para o qual você carregou o SBOM para verificar se há dependências vulneráveis.

Nota: Dependências transitivas não são suportadas pelo cdxgen para SwiftPM.