Spring Boot 3.3.0 已经发布，其中包含对 SBOM 的支持。SBOM 代表“软件物料清单”(Software Bill of Materials)，它描述了用于构建软件制品（artifact）的组件。在本博客文章中，制品即指您的 Spring Boot 应用。这些 SBOM 非常有用，因为它们准确地描述了您的应用包含的内容。有了这些信息，您可以评估安全漏洞是否影响您的应用，或者使用自动化安全工具扫描您的应用并提醒您安全漏洞。

目前存在多种 SBOM 格式，最广泛使用的包括 CycloneDX、SPDX 和 Syft。Spring Boot 3.3.0 开箱即用地支持 CycloneDX。该支持由三个主要部分构成：

• 配置 CycloneDX 插件，以便在构建应用时生成 SBOM
• 将生成的 SBOM 文件打包到 uber jar 中
• 一个用于暴露生成的 SBOM（如果启用）的 actuator 端点

让我们看看这是如何工作的

首先，在 start.spring.io 上生成一个新项目（请确保选择 Spring Boot 3.3.0），并包含以下依赖项

• Spring Web
• Actuator

现在在您的 IDE 中打开生成的项目，如果您使用 Gradle，请将以下内容放入您的 build.gradle 中

plugins {
  id 'org.cyclonedx.bom' version '1.8.2'
}

这将 CycloneDX Gradle 插件 应用到您的构建中。Spring Boot 会检测到这一点，并负责配置该插件，您无需进行其他更改。

如果您使用 Maven，请将以下内容放入您的 pom.xml 中

<plugins>
  <plugin>
    <groupId>org.cyclonedx</groupId>
    <artifactId>cyclonedx-maven-plugin</artifactId>
  </plugin>
</plugins>

这将 CycloneDX Maven 插件 添加到您的构建中。Spring Boot 通过其父级自动管理此插件的版本，并负责配置该插件。

现在使用 gradle build 或 mvn package 构建您的 uber jar。在构建过程中，Spring Boot 借助 CycloneDX 插件生成一个 SBOM，并将 SBOM 包含在 uber jar 中。如果您查看 uber jar 的内容，您会在 META-INF/sbom/application.cdx.json 中找到 SBOM。Spring Boot 还会将 SBOM 的位置和格式添加到 jar 的清单中，以便扫描工具能够找到它

Sbom-Location: META-INF/sbom/application.cdx.json
Sbom-Format: CycloneDX

现在，如果您能够向正在运行的应用索取 SBOM，以便准确了解服务器上运行的内容，那岂不是很方便吗？

通过 Actuator 暴露 SBOM

为此，我们需要暴露 SBOM actuator 端点，该端点默认不暴露。不过，这很容易实现。将以下内容添加到您的应用配置文件中

management.endpoints.web.exposure.include=health,sbom

现在重新构建应用并从 jar 文件运行它。启动完成后，您可以查询 SBOM actuator 端点

curl http://localhost:8080/actuator/sbom

HTTP/1.1 200
Content-Type: application/vnd.spring-boot.actuator.v3+json

{"ids":["application"]}

这将返回包含所有 SBOM ID 的 JSON。可以有多个 SBOM：一个描述您的应用，一个描述您的 JVM，一个描述您的操作系统等等。默认情况下，只有一个名为 application 的 SBOM，用于描述您的 Spring Boot 应用。

查看 application SBOM

curl -i http://localhost:8080/actuator/sbom/application

HTTP/1.1 200
Content-Type: application/vnd.cyclonedx+json
Content-Length: 161738

{
  "bomFormat" : "CycloneDX",
  "specVersion" : "1.5",
  "serialNumber" : "urn:uuid:3842be09-b12e-45ed-8038-babb72a53750",
  "version" : 1,
  ...

这将返回一个大型 JSON 文档，描述您的应用内容。它包含您的应用所有依赖项的信息，包括它们的哈希值和许可、网站和问题跟踪器 URL 等。它还包含关于您应用的数据，例如版本号、SBOM 生成时间等。通过这些信息，您将准确了解服务器上运行的内容。这涵盖了 SBOM 支持的基本用法。现在让我们看看更高级的功能。

不同格式的应用 SBOM

如果您不想为您的应用使用 CycloneDX SBOM，而是喜欢其他格式，您也可以这样做。但是，您需要自己配置生成 SBOM 的插件。在撰写本文时，Spring Boot 仅自动配置 CycloneDX 插件。

配置构建以创建 SBOM 后，您可以使用 management.endpoint.sbom.application.location 属性将 Spring Boot 指向此 SBOM。如果引用的 SBOM 是 CycloneDX、SPDX 或 Syft 格式，Spring Boot 将自动检测其类型，该类型将用于 actuator 响应的 Content-Type 头部。如果您使用其他格式，您可以使用 management.endpoint.sbom.application.media-type 属性明确指定 SBOM 的媒体类型。此示例展示了如何使用 SPDX 格式的 SBOM

management.endpoint.sbom.application.location=classpath:/sbom/application.spdx.json

要使其工作，SPDX SBOM 需要存储在 src/main/resources/sbom/application.spdx.json 中。

包含额外的 SBOM

Spring Boot 支持每个应用包含多个 SBOM。如果您想包含额外的 SBOM，您可以使用 management.endpoint.sbom.additional 下的配置属性。例如，添加一个名为 jvm 的 SBOM 可以这样实现

management.endpoint.sbom.additional.jvm.location=file:/path/to/sbom.json

这个 jvm SBOM 存储在文件系统的 /path/to/sbom.json 中。您需要自己生成此 SBOM，或者您的 JVM 供应商需要提供一个。

与应用 SBOM 一样，如果引用的 SBOM 是 CycloneDX、SPDX 或 Syft 格式，Spring Boot 将自动检测其类型。否则，您可以使用以下属性自行设置媒体类型

management.endpoint.sbom.additional.jvm.media-type=application/json

使用此配置启动应用后，您可以再次运行以下 curl 命令

curl -i http://localhost:8080/actuator/sbom

HTTP/1.1 200
Content-Type: application/vnd.spring-boot.actuator.v3+json

{"ids":["application","jvm"]}

现在该端点返回两个 SBOM：application 和 jvm。您可以使用此 curl 命令访问 jvm SBOM

curl -i http://localhost:8080/actuator/sbom/jvm

HTTP/1.1 200
Content-Type: application/spdx+json
Content-Length: 48739

<content of the jvm SBOM>

您可以包含任意数量的 SBOM，它们都将通过 actuator 端点暴露。

可选的 SBOM

请注意，配置中引用的 SBOM 文件或资源必须存在，否则启动会失败。您可以在 SBOM 位置前加上 optional: 前缀以防止启动失败 - 如果文件不存在，Spring Boot 将直接忽略它。

总结

我们希望您喜欢这个功能，并且它能帮助您保障软件供应链的安全。

请告诉我们您对这个新功能的看法，一如既往，如果您发现任何问题，请随时 访问我们的问题跟踪器。