sbom-tool 微软提供sbom工具

sbom-tool 是微软开源的创建spdx2.2 兼容的sboms 工具，支持不少语言，当然spdx 提供的spdx-sbom-generator 也是一个不错的选择
开源可视化管理上 dependency-track是一个很不错的工具，但是是基于cyclonedx 格式的，可以通过cyclonedx-cli 工具进行转换处理

参考玩法

 

备注: 核心是格式转换，统一使用cyclonedx格式，基于dependency-track 进行方便的安全管理

参考资料

https://github.com/microsoft/sbom-tool
https://github.com/microsoft/component-detection
https://github.com/CycloneDX/cyclonedx-cli
https://spdx.dev/
https://spdx.github.io/spdx-spec/v2.2.2/
https://github.com/opensbom-generator/spdx-sbom-generator
https://github.com/DependencyTrack/dependency-track
https://cyclonedx.org/