docker镜像的软件物料清单

Question

我有用于我的应用程序的node12.14 docker镜像。但是今天我被要求为这个docker镜像提供软件物料清单(SBOM)。我不确定如何得到它。

您提供的任何意见，以帮助我获得软件的材料清单将非常感谢。

Answer 1

我个人以前没有接到过这样的任务，但我猜看看history可能是一个好的开始：

# You may need to first run "docker pull node:12.14"
docker history --format '{{.CreatedBy}}' --no-trunc --human node:12.14

这将输出用于构建映像的命令列表，您必须决定哪些命令适合向您请求材料清单的团队。

否则，您可以直接在GitHub上查看Dockerfile文件的源代码。历史中的This point似乎是构建12.14版本的最新提交(我可能是错的，所以请随意挖掘该存储库及其历史记录)。