SCA 与 SBOM
使用 Cogna 输出 SPDX SBOM,并接入你的安全与合规流程。
SCA 与 SBOM
除了接口兼容性,很多团队还需要依赖合规与漏洞追踪。Cogna 产出的 SBOM 可直接用于这类流程。
你会得到什么
构建后可获得 SPDX 相关产物,便于与现有 SCA 平台对接。
推荐做法
- 在 CI 中保存 SBOM 产物
- 与
diff.json、check.sarif.json一起归档 - 发布前做一次统一审计
典型流程
cogna build
# 保存 dist/ 中的 SBOM 相关输出