Trivy扫描CycloneDX SBOM时重复Purls导致的漏洞引用问题分析

在安全扫描工具Trivy的最新版本中，发现了一个与CycloneDX格式软件物料清单(SBOM)处理相关的重要问题。当扫描包含多个具有相同软件包URL(purl)但不同bom-ref标识符的组件时，生成的报告中的引用关系会出现异常。

问题核心在于Trivy在处理CycloneDX格式的SBOM时，对于重复purl组件的引用关系处理不够完善。具体表现为：当SBOM中存在两个或多个组件使用完全相同的purl但拥有不同的bom-ref时，生成的报告中affects.ref字段指向的引用标识符会出现随机性，无法正确关联到SBOM中实际存在的组件引用。

值得注意的是，这一问题仅出现在CycloneDX格式的输出中，当使用JSON格式输出时则不会出现此问题。这表明问题与特定格式的序列化处理逻辑有关。

从技术实现角度看，问题可能源于组件转换过程中的bom-ref传递缺失。当Trivy将内部包结构转换为CycloneDX组件时，未能正确保留原始的bom-ref信息，导致在生成影响关系时无法建立正确的引用链接。

对于依赖SBOM进行供应链安全分析的用户而言，这个问题可能导致问题与受影响组件之间的关联关系丢失，进而影响风险评估的准确性。特别是在复杂软件供应链场景中，同一软件包可能以不同形式多次出现，正确处理这类情况对确保扫描结果的完整性至关重要。

目前，项目维护者已经确认这是一个需要修复的问题。建议用户在使用Trivy处理包含重复purl的CycloneDX SBOM时，暂时采用JSON格式输出作为替代方案，待问题修复后再切换回CycloneDX格式。