vcpkg의 소프트웨어 자료 청구서

vcpkg는 SPDX(소프트웨어 패키지 데이터 교환) 사양에 따라 SBOM(소프트웨어 청구서) 을 생성합니다. 원본 원본과 같은 패키지를 빌드하는 데 사용되는 중요한 정보를 추적하고 패키지 소비자에게 소프트웨어 투명성과 무결성을 제공하는 것을 목표로 합니다. 자세한 내용은 SBOM 및 SPDX에 대한 이 블로그 게시물을 참조하세요.

vcpkg는 설치된 각 패키지에 대한 SBOM 정보를 포함하는 SPDX 파일을 생성합니다. 파일은 .에 있습니다 <installed_dir>/<triplet>/share/<package name>/vcpkg.spdx.json. 설치 디렉터리 매니페스트 모드 또는 클래식 모드에서 실행 중인 vcpkg 여부에 따라 달라 집니다. 패키지는 대상 플랫폼에 따라 다른 종속성을 가질 수 있으므로 생성된 파일도 세 쌍둥이로 구분됩니다.

vcpkg 특정 필드

vcpkg에서 생성된 다음 필드는 패키지 빌드 방법에 따라 SBOM에 표시될 수 있습니다.

name

문서의 이름을 참조합니다. 이 필드에는 패키지 이름, 트리플렛 버전, 패키지를 식별하는 데 사용되는 ABI 해시 가 포함됩니다.

SPDX 참조: 문서 이름 필드

creationInfo

문서의 작성자 vcpkg를 참조합니다. 필드에는 creators vcpkg 다음에 버전이 포함됩니다.

SPDX 참조: 작성자 필드

relationships

vcpkg SPDX 요소 간의 관계에 대한 정보를 포함합니다. SPDXRef-port 는 포트를 참조하고 포트 SPDXRef-file-N 의 각 파일을 portfile.cmake 참조하며 SPDXRef-binary 이진 패키지를 참조합니다. vcpkg에서 이진 패키지는 포트에 의해 생성됩니다.

SPDX 참조: 관계 필드

패키지

vcpkg에서 생성된 각 패키지를 참조합니다. SPDXRef-port 는 포트를 참조하고 SPDXRef-binary 이진 패키지를 참조하며 SPDXRef-resource vcpkg의 포트 파일에 사용되는 모든 소스를 참조합니다. vcpkg는 구문 분석 및 vcpkg_from_sourceforge 호출을 vcpkg_from_gitvcpkg_download_distfilevcpkg_from_github통해 원본 정보를 portfile.cmake 추론적으로 생성합니다.

SPDX 참조: 패키지 정보

files

포트의 각 파일을 참조합니다. 파일에 대한 상대 경로와 검사sum이 포함됩니다.

SPDX 참조: 파일 정보