pverify は検証専用のツールであり、署名鍵を一切持ちません。 この性質を機械可読な形で公開するため、2 種類の部品表(BOM)を提供します。 本ページはその内容を見やすく表示するビューアです。生の JSON は cbom.json / sbom.json から取得できます(CycloneDX 形式)。
CBOM(暗号部品表)は pverify が
検証時に扱える暗号アルゴリズムを列挙したものです。
すべての項目は verify 機能のみで、署名(sign)機能は一切ありません。
弱いアルゴリズム(SHA-1 など)も隠さず明示します。コードと CBOM の食い違いは
CI(cargo xtask cbom-check)が機械的に検出します。
読み込み中…
SBOM(ソフトウェア部品表)は pverify が
ビルドに使用している依存クレートの一覧です
(Cargo.lock から cargo cyclonedx で生成)。
読み込み中…