Syft项目中SPDX许可证声明问题的分析与解决

在软件供应链安全领域，SBOM（软件物料清单）生成工具Syft近期被发现存在一个关于SPDX许可证声明的技术问题。这个问题主要涉及当RPM包中包含非标准许可证引用时，Syft生成的SPDX格式SBOM文件未能正确处理许可证信息。

问题背景

Syft作为一款流行的SBOM生成工具，能够自动分析软件组件及其依赖关系，并以多种格式输出结果，其中包括SPDX标准格式。SPDX（Software Package Data Exchange）是一种广泛采用的SBOM标准格式，它对软件组件的许可证信息有严格的规范要求。

在最新版本中发现，当分析包含特定RPM包（如libbsd）时，生成的SPDX JSON文件中会出现"LicenseRef-Fedora-Public-Domain"这样的非标准许可证引用。按照SPDX规范，这类以"LicenseRef-"为前缀的许可证引用应当同时在文档的"hasExtractedLicensingInfos"部分提供详细的许可证文本信息。

问题重现与验证

通过构建一个简单的Fedora容器镜像并安装libbsd包，可以稳定重现此问题。具体步骤如下：

1. 创建包含libbsd的Docker镜像
2. 使用Syft生成SPDX格式的SBOM
3. 检查生成的JSON文件中libbsd包的许可证声明

分析结果显示，虽然许可证声明中包含了"LicenseRef-Fedora-Public-Domain"引用，但文档中却缺少对应的许可证文本描述，这会导致使用NTIA检查器验证SBOM时产生警告信息。

技术分析

深入分析问题原因，我们发现：

1. RPM包的元数据中可能包含非标准的许可证标识符
2. Syft在转换这些许可证信息时，未能完整处理"LicenseRef-"类型的引用
3. 根据SPDX规范，任何自定义许可证引用都应在文档中提供详细说明

这个问题不仅影响libbsd包，理论上会影响所有包含非标准许可证引用的RPM包。虽然"LicenseRef-"前缀本身符合SPDX规范，但缺少对应的许可证文本描述会导致SBOM验证失败。

解决方案与建议

针对这个问题，我们建议采取以下解决方案：

1. 临时解决方案：手动在SBOM文件中添加缺失的许可证信息部分
2. 长期修复：修改Syft的RPM解析器，确保对所有"LicenseRef-"类型的许可证引用都生成对应的"hasExtractedLicensingInfos"条目

对于SBOM使用者来说，了解这个问题的存在也很重要。在使用Syft生成的SPDX文件时，特别是包含RPM包的情况下，应当检查许可证声明部分是否完整，特别是那些带有"LicenseRef-"前缀的许可证引用是否都有对应的描述信息。

总结

Syft作为SBOM生成工具，在处理RPM包的非标准许可证引用时存在不足。这个问题虽然不影响基本的SBOM生成功能，但会导致生成的文档不符合SPDX规范要求，可能影响后续的自动化处理和验证流程。开发团队已经确认了这个问题，预计会在后续版本中修复。在此期间，用户可以采用手动补充缺失信息的方式确保SBOM的合规性。

这个问题也提醒我们，在软件供应链安全管理中，即使是成熟工具生成的结果，也需要进行必要的验证和检查，确保其符合相关标准和规范要求。