关于bomber

bomber是一款针对软件物料清单（SBOM）的安全漏洞扫描工具，广大研究人员可以通过该工具扫描和检测软件物料清单（SBOM）。

当你向一家供应商索要了他们的一个封闭源代码产品的软件材料清单，而他们以JSON文件的形式向你提供了一份材料清单，接下来你需要怎么做呢？

我们要做的第一件事就是查看软件物料清单中列出的任意组件是否存在安全漏洞，以及这些组件具有何种许可证，这将帮助我们确认使用该产品将承担何种风险。

而bomber正好可以帮助我们，该工具可以读取任何基于JSON或XML的
CycloneDX格式，或JSON SPDX或
Syft格式的SBOM，然后立刻告诉广大研究人员目标SBOM中是否存在任何安全漏洞。

支持的SBOM格式

bomber支持下列SBOM格式：

SPDX

CycloneDX

Syft

工具安装

macOS

我们可以直接使用 Homebrew来安装bomber：

brew tap devops-kung-fu/homebrew-tap

brew install devops-kung-fu/homebrew-tap/bomber

如果你不想用Homebrew安装的话，也可以直接访问该项目的【[ Releases页面](https://github.com/devops-kung-
fu/hookz/releases)】下载最新版本的bomber，例如bomber_0.1.0_darwin_all.tar.gz。

然后将bomber的代码拷贝到/usr/local/bin目录下，即可在命令行窗口中使用bomber了。

Linux

如需在Linux上安装bomber，可以直接该项目的【[ Releases页面](https://github.com/devops-kung-
fu/hookz/releases)】下载对应平台的bomber，并在本地设备上安装：

dpkg -i bomber_0.1.0_linux_arm64.deb

工具使用

我们可以直接扫描包含多个SBOM的目录，或单个SBOM。

扫描单个SBOM

bomber scan spdx.sbom.json

bomber scan --provider=xxx --username=xxx --token=xxx spdx-sbom.json

扫描整个SBOM目录

bomber scan --username=xxx --token=xxx ./sboms

输出为HTML

bomber scan bad-bom.json --output=html

输出为JSON

bomber scan bad-bom.json --output=json

最后

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供：


当然除了有配套的视频，同时也为大家整理了各种文档和书籍资料&工具，并且已经帮大家分好类了。

因篇幅有限，仅展示部分资料，有需要的小伙伴，可以【扫下方二维码】免费领取：