Подпись и верификация SBoM¶
Для подтверждения целостности и подлинности SBoM-файлов поддерживается подпись и верификация с использованием цифровых подписей RSA SHA256. Функциональность доступна начиная с версии консольного агента 2025.29.0.
Важно: поддерживаются только RSA ключи, и они должны быть в формате PEM.
Подпись SBoM файла¶
Для создания цифровой подписи SBoM файла используется команда sign bom. Она имеет следующие параметры:
--private-key <путь>- путь к приватному ключу RSA в формате PEM (обязательно);--include-public-key- включить публичный ключ в SBOM файл (опционально).
Примеры запуска¶
# Подпись файла с указанием приватного ключа
./johnny sign bom <bom_json> \
--api_token <api_token> \
--api_url <api_url> \
--private-key <private_key_pem>
# Подпись файла с включением публичного ключа в SBOM
./johnny sign bom <bom_json> \
--api_token <api_token> \
--api_url <api_url> \
--private-key <private_key_pem> \
--include-public-key
Верификация подписи SBoM файла¶
Для проверки подписи SBoM файла используется команда verify bom. Она имеет следующие параметры:
--public-key <путь>- путь к публичному ключу RSA в формате PEM (опционально). Если этот параметр задан и файл SBoM содержит публичный ключ, будет использован ключ из файла SBoM.
Примеры запуска¶
# Верификация с использованием публичного ключа из файла
./johnny verify bom <bom_json> \
--api_token <api_token> \
--api_url <api_url> \
--public-key <public_key_pem>
# Верификация с использованием ключа из SBoM файла
./johnny verify bom <bom_json> \
--api_token <api_token> \
--api_url <api_url>
Результаты работы¶
Агент возвращает следующие exit code:
- 0: успешное выполнение;
- 4: ошибка верификации подписи.