anchore/syft

GitHub: anchore/syft

一款用于从容器镜像和文件系统生成软件物料清单（SBOM）的 CLI 工具和 Go 库，支持多种包生态系统和行业标准输出格式。

Stars: 8434 | Forks: 777

Cute pink owl syft logo

# Syft **一个用于从容器镜像和文件系统生成软件物料清单 (SBOM) 的 CLI 工具和 Go 库。当与 [Grype](https://github.com/anchore/grype) 等扫描器配合使用时，在漏洞检测方面表现出色。**

![syft-demo](https://static.pigsec.cn/wp-content/uploads/repos/2026/02/42d9eec0e4130951.gif) ## 特性 - 为 **容器镜像**、**文件系统**、**归档文件** 生成 SBOM（查看文档获取 [supported scan targets](https://oss.anchore.com/docs/guides/sbom/scan-targets/) 的完整列表） - 支持数十种软件包生态系统（例如 Alpine (apk)、Debian (dpkg)、RPM、Go、Python、Java、JavaScript、Ruby、Rust、PHP、.NET 以及 [many more](https://oss.anchore.com/docs/capabilities/all-packages/)） - 支持 OCI、Docker、[Singularity](https://github.com/sylabs/singularity) 和 [more image formats](https://oss.anchore.com/docs/guides/sbom/scan-targets/) - 与 [Grype](https://github.com/anchore/grype) 无缝协作进行漏洞扫描 - 多种输出格式（**CycloneDX**、**SPDX**、**Syft JSON** 以及 [more](https://oss.anchore.com/docs/guides/sbom/formats/)），包括 [convert between SBOM formats](https://oss.anchore.com/docs/guides/sbom/conversion/) 的能力 - 使用 [in-toto specification](https://github.com/in-toto/attestation/blob/main/spec/README.md) 创建已签名的 SBOM 证明 ## 安装最快速的入门方式： ``` curl -sSfL https://get.anchore.io/syft | sudo sh -s -- -b /usr/local/bin ``` ## 基础用法查看容器镜像或目录中的软件包： ``` # container image syft alpine:latest # directory syft ./my-project ``` 要获取 SBOM，请指定一种或多种输出格式： ``` # SBOM to stdout syft -o cyclonedx-json # Multiple SBOMs to files syft -o spdx-json=./spdx.json -o cyclonedx-json=./cdx.json ``` ## 贡献我们鼓励用户在发现 Bug 或想要新功能时通过 [submitting issues](https://github.com/anchore/syft/issues) 来帮助改进这些工具。如果您有兴趣提供代码贡献，请查看我们的 [contributing overview](https://oss.anchore.com/docs/contributing/) 和 [developer-specific documentation](https://oss.anchore.com/docs/contributing/syft/)。

Syft development is sponsored by Anchore, and is released under the Apache-2.0 License. The Syft logo by Anchore is licensed under CC BY 4.0

如需 Syft 或 Grype 的商业支持选项，请 [contact Anchore](https://get.anchore.com/contact/)。 ## 与我们交流！ Syft 团队定期举行在线社区会议。欢迎大家加入并带来讨论话题。 - 查看 [calendar](https://calendar.google.com/calendar/u/0/r?cid=Y182OTM4dGt0MjRtajI0NnNzOThiaGtnM29qNEBncm91cC5jYWxlbmRhci5nb29nbGUuY29t) 了解下一次会议日期。 - 向 [agenda](https://docs.google.com/document/d/1ZtSAa6fj2a6KRWviTn3WoJm09edvrNUp4Iz_dOjjyY8/edit?usp=sharing) 添加议题（加入 [this group](https://groups.google.com/g/anchore-oss-community) 以获取 [agenda](https://docs.google.com/document/d/1ZtSAa6fj2a6KRWviTn3WoJm09edvrNUp4Iz_dOjjyY8/edit?usp=sharing) 的写入权限） - 到时候见！

标签：AI SDK, Anchore, CLI工具, Debian包, DevSecOps, DNS 0x20, Docker‑Compose, EVTX分析, EVTX分析, EVTX分析, EVTX分析, Go, GUI应用, IP 地址批量处理, Linux安全, Next.js, pip安装, Ruby工具, Rust语言, SBOM, WebSocket, Web截图, Web界面, 上游代理, 企业级API, 供应链安全, 依赖分析, 占用监测, 安全审计, 容器安全, 带宽管理, 开源安全, 文件系统分析, 文档结构分析, 日志审计, 智能家居, 活动识别, 流量可视化, 测试覆盖率, 漏洞检测, 用户界面自定义, 硬件无关, 网络信息收集, 请求拦截, 资产管理, 跌倒检测, 软件物料清单, 镜像扫描