relizaio/rearm

**Meta:** [](https://www.gnu.org/licenses/agpl-3.0) [](https://demo.rearmhq.com) [](https://rearmhq.com) [](https://docs.rearmhq.com) **Build:**  [](https://www.bestpractices.dev/projects/10664) **Social:** [](https://discord.gg/UTxjBf9juQ) [](https://www.linkedin.com/company/relizaio/) # ReARM - 发布级供应链证据平台 - 社区版 ### ReARM 存储并管理 SBOMs、xBOMs、SAST / DAST 扫描结果、Attestations 以及其他 Security Artifacts https://github.com/user-attachments/assets/a315c5b2-7116-4b4a-bb4b-28e77d3ae9b3 查看为 SecTor 2025 Arsenal 制作的 ReARM CE 演示 [YouTube](https://www.youtube.com/watch?v=PNGxlvV-EsM)（23 分钟）。 ## 关于 ReARM 是 "Reliza's Artifact and Release Management" 的缩写。它是一款 DevSecOps 和 Supply Chain Security 工具，同时也是 SBOM/xBOM 仓库与证据存储库，用于组织产品发布及其元数据，包括各种 Bills of Materials (SBOMs / xBOMs) 和安全发现。 ReARM 针对每个发布维护安全文档和发现。请参阅[此处](https://rearmhq.com/comparisons/)了解 ReARM 与其他工具的对比。 ReARM 将 xBOMs 和其他安全 artifacts 存储在 OCI-compatible 存储上。ReARM 由 [Reliza](https://reliza.io) 开发。请在[我们的博客](https://rearmhq.com/blog/rearm-history)阅读项目历史。 ReARM 是首个引入[发布元数据组织中的 Product-Component 关系原则](https://worklifenotes.com/2024/10/08/release-metadata-organization-model/)的项目，这一原则正获得越来越多的市场采纳。 ## 项目链接 - 文档：https://docs.rearmhq.com - 视频学习与教程播放列表（制作中）：https://www.youtube.com/playlist?list=PLPABgZUOtPyXyC9YWJktF-sfu0ewpytGf - ReARM CLI：https://github.com/relizaio/rearm-cli - Project ReARM 网站：https://rearmhq.com - 公开演示：https://demo.rearmhq.com - Reliza 网站：https://reliza.io - Reliza Versioning：https://github.com/relizaio/versioning ## ReARM 产品状态信息 - ReARM 本身 - 正式发布 (General Availability) - Transparency Exchange API (TEA) 实现 - 正在实施 TEA Beta 2 - 公开 Alpha 版已在 ReARM 演示实例上可用（详情见下文） ## 动机 ReARM 是一个 xBOM 管理系统，允许组织在各种监管框架内保持合规，包括： - 欧洲 [CRA 法规](https://eur-lex.europa.eu/eli/reg/2024/2847/oj)、[BSI TR-03183](https://www.bsi.bund.de/EN/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Technische-Richtlinien/TR-nach-Thema-sortiert/tr03183/tr-03183.html)、[NIS2 指令](https://eur-lex.europa.eu/eli/dir/2022/2555/oj/eng) 和 [DORA](https://eur-lex.europa.eu/eli/reg/2022/2554/oj/eng) 中对 xBOMs 的隐含使用 - 美国行政命令 [14028](https://www.federalregister.gov/documents/2021/05/17/2021-10460/improving-the-nations-cybersecurity) - 美国陆军关于 SBOMs 的[备忘录](https://federalnewsnetwork.com/wp-content/uploads/2024/09/081624_Army_SBOM_Memo.pdf) - 美国行政命令 [14144](https://www.federalregister.gov/documents/2025/01/17/2025-01470/strengthening-and-promoting-innovation-in-the-nations-cybersecurity)（随后被[修订](https://rearmhq.com/blog/sbom-remains-attestations-out-amending-executive-order-14144)） - 美国 [FD&C 法案](https://www.govinfo.gov/content/pkg/COMPS-973/pdf/COMPS-973.pdf) 第 524B 节及其[指南](https://www.fda.gov/regulatory-information/search-fda-guidance-documents/cybersecurity-medical-devices-quality-system-considerations-and-content-premarket-submissions) - 印度储备银行 (RBI) 和印度证券交易委员会 (SEBI) 网络安全与网络弹性框架 SBOM [要求](https://www.sebi.gov.in/legal/circulars/aug-2024/cybersecurity-and-cyber-resilience-framework-cscrf-for-sebi-regulated-entities-res-_85964.html)及[常见问题解答](https://www.sebi.gov.in/sebi_data/faqfiles/jun-2025/1749647139924.pdf) - 韩国计划在 2027 年前对公共部门实施强制性 SBOM 要求：[来源](https://www.korea.kr/news/policyNewsView.do?newsId=148952831#policyNews) - 日本在 METI SBOM 指南和 JC-STAR 计划中有 SBOM 建议 虽然强调监管压力，但我们努力确保 ReARM 给开发人员带来最少或不带来开销，并在管理技术发布及其元数据方面提供真正的价值。换句话说，我们的目标是创建一款对开发人员和管理人员都有用的产品，同时解决合规问题。 ## 当前功能 1. 存储（例如，以满足欧盟 CRA 保留要求）和检索软件及硬件的 SBOMs / xBOMs 10 年以上，按发布划分，包括签名和签名细节，并具有丰富的导出功能（例如，可选择排除 Dev / Test 依赖项或仅列出顶层依赖项） 2. 在 Component 和 Product Release 级别无缝创建聚合 BOMs 3. 维护组织的产品和组件及其分支和版本的表示 4. 自动创建发布版本和发布之间的变更日志 5. 与 [Dependency-Track](https://dependencytrack.org/) 集成以分析漏洞和策略，包括许可证策略，同时通过数据去重优化 Dependency-Track 性能 6. 基于 Dependency-Track 数据搜索组织中是否存在依赖项 7. 与各种 CI 系统（包括 GitHub Actions、Azure DevOps、Jenkins、GitLab CI 等）集成，以生成 BOMs 并将其与其他发布元数据上传到 ReARM 8. 基于批准和/或漏洞或策略违规的触发器发布批准逻辑（仅限 ReARM Pro） 9. 营销发布工作流（仅限商业版） 10. Component 发布级别的警报和 SBOM 依赖项变更的变更日志 11. 发现审计（包括漏洞、弱点、策略违规的审计） 12. RBAC ## 未来功能（中期路线图） 1. 改进的 VEX 工作流 2. 更好的 Attestations 处理和规定工作流 3. 仅与公众或特定人员或组织交换 BOM 数据的选项（通过 [Transparency Exchange API](#transparency-exchange-api) 和 ReARM 自身的功能） ## 发布 ReARM 遵循 [Trunk Based Development (TBD)](https://trunkbaseddevelopment.com/) 方法。这意味着维护者尽可能直接提交到 main 分支。使用者应使用标记为 SHIPPED（或 GENERAL_AVAILABILITY）的发布。 请参阅 [ReARM Demo Instance](https://demo.rearmhq.com) 上的 [ReARM Community Edition Product](https://demo.rearmhq.com/productsOfOrg/00000000-0000-0000-0000-000000000001/eab985e6-f4f1-42db-95ba-5d9d1d695348) 以获取不断更新的 ReARM 发布列表。SHIPPED 版本也会在本仓库的 [GitHub Releases](https://github.com/relizaio/rearm/releases) 下发布。 标记为特定版本的 Helm chart 和 docker compose 文件包含对应于该特定版本的镜像列表。 ## Transparency Exchange API ReARM 的创建者是 [Transparency Exchange API](https://github.com/CycloneDX/transparency-exchange-api/) (TEA) 的[活跃贡献者](https://github.com/CycloneDX/transparency-exchange-api/blob/main/contributors.md)之一，该 API 旨在构建用于交换供应链 artifacts 和情报的标准 API。 许多核心 ReARM 理念作为 TEA 工作组的一部分，在宽松的开源许可下共享。 ReARM 目前支持 TEA Beta 2 的大部分功能，我们正在努力扩展和改进支持。请参阅 ReARM 文档网站[此处](https://docs.rearmhq.com/tea/index.html)的使用和状态文档。 ## 相关项目 - ReARM CLI：https://github.com/relizaio/rearm-cli - 用于人类和自动化 bots 与 ReARM 交互的 CLI 工具 - BEAR (BOM Enrichment and Augmentation by Reliza)：https://github.com/relizaio/bear - BEAR 可用于在上传到 ReARM 之前进行 BOM 丰富 - Reliza Versioning 库：https://github.com/relizaio/versioning - Versioning 库用于 ReARM 处理的自动版本增量、比较和变更日志 ## 公开演示 公开演示位于 https://demo.rearmhq.com。当您注册演示时，您将获得演示组织的只读账户，并可以浏览几个现有的演示 Components、Products、Releases。然后，您也可以创建自己的组织，并尝试组织存储您自己的发布元数据 - 请参阅教程 [Upload Your First BOM](https://docs.rearmhq.com/tutorials/first-bom.html)。请注意，虽然您在公开演示上的数据是私有的，但它可能会在任何时候被删除且不另行通知。 ## 安装、教程、文档 请参阅项目文档：https://docs.rearmhq.com 此文档使用 vitepress 构建并检入本仓库的 `documentation_site` 下。如果您发现任何问题或想提出补充，请相应地提出 issues 或 Pull Requests。 ## 开发 ReARM ### 从 TEA OpenAPI 规范生成 TEA-overlay OpenAPI 规范可在此处找到 - https://github.com/CycloneDX/transparency-exchange-api/blob/main/spec/openapi.yaml 然后复制到本仓库的 tea-spec/ 目录中。 要生成初始 tea-server spring 服务，请运行 ``` npx @openapitools/openapi-generator-cli generate -i tea-spec/openapi.yaml -g spring -o tea-server/ --additional-properties="useSpringBoot3=true,modelPackage=io.reliza.model.tea,apiPackage=io.reliza.ws.tea,modelNamePrefix=Tea" ``` ### 本地开发 1. 为数据库创建一个 docker 容器： ``` docker run --name rearm-postgres -d -p 5440:5432 -e POSTGRES_PASSWORD=relizaPass postgres:17 ``` 此部分将继续（TODO）。 ## 联系 Reliza 联系我们最简单的方式是通过我们的 [Discord 社区](https://devopscommunity.org/) - 在那里找到 #rearm 频道，并在该频道发帖或直接向维护者发送私信。 您也可以给我们发送电子邮件至 [info@reliza.io](mailto:info@reliza.io)。

标签：Community Edition, DAST, DevSecOps, JS文件枚举, OCI 存储, SAST, SBOM, xBOM, 上游代理, 人工智能安全, 制品管理, 合规性, 域名枚举, 域名枚举, 安全元数据, 开源, 恶意软件分析, 文档安全, 测试用例, 版本发布, 盲注攻击, 硬件无关, 证据存储, 请求拦截, 跌倒检测, 软件供应链, 软件开发工具包, 软件物料清单, 长期存档