vcpkg의 소프트웨어 자료 청구서
vcpkg는 SPDX(소프트웨어 패키지 데이터 교환) 사양에 따라 SBOM(소프트웨어 청구서) 을 생성합니다. 원본 원본과 같은 패키지를 빌드하는 데 사용되는 중요한 정보를 추적하고 패키지 소비자에게 소프트웨어 투명성과 무결성을 제공하는 것을 목표로 합니다. 자세한 내용은 SBOM 및 SPDX에 대한 이 블로그 게시물을 참조하세요.
vcpkg는 설치된 각 패키지에 대한 SBOM 정보를 포함하는 SPDX 파일을 생성합니다. 파일은 .에 있습니다 <installed_dir>/<triplet>/share/<package name>/vcpkg.spdx.json
. 설치 디렉터리 매니페스트 모드 또는 클래식 모드에서 실행 중인 vcpkg 여부에 따라 달라 집니다. 패키지는 대상 플랫폼에 따라 다른 종속성을 가질 수 있으므로 생성된 파일도 세 쌍둥이로 구분됩니다.
vcpkg 특정 필드
vcpkg에서 생성된 다음 필드는 패키지 빌드 방법에 따라 SBOM에 표시될 수 있습니다.
name
문서의 이름을 참조합니다. 이 필드에는 패키지 이름, 트리플렛 버전, 패키지를 식별하는 데 사용되는 ABI 해시 가 포함됩니다.
SPDX 참조: 문서 이름 필드
creationInfo
문서의 작성자 vcpkg를 참조합니다. 필드에는 creators
vcpkg 다음에 버전이 포함됩니다.
SPDX 참조: 작성자 필드
relationships
vcpkg SPDX 요소 간의 관계에 대한 정보를 포함합니다. SPDXRef-port
는 포트를 참조하고 포트 SPDXRef-file-N
의 각 파일을 portfile.cmake
참조하며 SPDXRef-binary
이진 패키지를 참조합니다. vcpkg에서 이진 패키지는 포트에 의해 생성됩니다.
SPDX 참조: 관계 필드
패키지
vcpkg에서 생성된 각 패키지를 참조합니다. SPDXRef-port
는 포트를 참조하고 SPDXRef-binary
이진 패키지를 참조하며 SPDXRef-resource
vcpkg의 포트 파일에 사용되는 모든 소스를 참조합니다. vcpkg는 구문 분석 및 vcpkg_from_sourceforge
호출을 vcpkg_from_git
vcpkg_download_distfile
vcpkg_from_github
통해 원본 정보를 portfile.cmake
추론적으로 생성합니다.
SPDX 참조: 패키지 정보
files
포트의 각 파일을 참조합니다. 파일에 대한 상대 경로와 검사sum이 포함됩니다.
SPDX 참조: 파일 정보
vcpkg
피드백
https://aka.ms/ContentUserFeedback
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요.다음에 대한 사용자 의견 제출 및 보기