Tool Comparison

[davidkopp]

Ich habe mich gefragt, ob wir mit dem dependency-resolver auf dem richtigen Weg sind oder ob andere Tools aus dem SBOM-Ökosystem nicht auch schon die Anforderungen erfüllen könnten.

Ich habe mir deshalb mal zwei Tools etwas genauer angeschaut:

• https://github.com/anchore/syft/
• https://github.com/aquasecurity/trivy

und Claude einen Bericht dazu schreiben lassen: TECHNICAL_COMPARISON_REPORT.md

Claudes Fazit:

The dependency-resolver tool addresses a specific and important gap in the current ecosystem. While syft and trivy are excellent tools for their intended use cases (comprehensive SBOM generation and security scanning), they are not architected for the specific production runtime scanning requirements outlined in the SPECIFICATION.md.

Solange ich also die Anforderungen richtig verstanden und in SPECIFICATION.md erfasst habe, sollten wir also auf dem richtigen Weg sein.
Es wäre denke ich trotzdem sinnvoll, wenn ihr den Bericht grob überfliegt und kurz zurückmeldet, ob das korrekt ist.

@ArneTR @ribalba

Der Bericht und ein paar Example Outputs der Tools befinden sich im Branch tool-comparison.

[ribalba]

Hmm, Syft scheint schon sehr da zu sein wo wir hin wollen.

Ich bin trotzdem für unsere eigene Version, da wir es mit dem GMT verzahnen müssen und die Funktionalität jetzt nicht rocket science ist. Ausserdem brauchen wir auch Hashes was die Tools soweit ich das sehe nicht machen.

Cool, dass du noch mal geschaut hast.

[davidkopp]

Anhand des JSON-Output-Formats von Syft habe ich mir mal überlegt, wie das Output-Format vom dependency_resolver verbessert werden könnte: #9

[davidkopp]

An analysis of how Syft is collecting information about the Java environments was done here:
#11 (comment)