GitHubがSBOMをサポート
GitHub
が
SBOM
の生成をサポートした
GitHub、ソフトウェア部品表の作成機能を無償公開--脆弱性管理を容易に - ZDNET Japan
内部的には
SBOM Tool
使ってるっぽい
sta.icon
出力される属性がそれと同じ感じだった
でもヘルプ見ると「依存関係グラフからつくる」とあるのよな
ソースから直接つくるというより、既にGitHubがつくってる依存関係のグラフからコンポーネント一覧を確定するというふうに聞こえる
(その依存関係グラフ生成処理が実はSBOM Tool、というオチはありえるが)
Exporting a software bill of materials for your repository - GitHub Docs
もうちょっとちゃんと調べたいなら、jqで
packages[]
の中の内訳とかも見るべきか