SBOM工具在NPM项目中处理node_modules目录的最佳实践

微软开源的SBOM工具（Software Bill of Materials）是一款用于生成软件物料清单的强大工具，它能够帮助开发团队清晰地了解项目依赖关系。然而，在使用过程中，开发人员可能会遇到一个常见问题：当项目中存在node_modules目录时，生成的依赖关系图会出现异常。

问题现象分析

当扫描一个NPM项目时，如果项目目录下没有node_modules文件夹，SBOM工具能够正确解析package.json和package-lock.json文件，生成准确的依赖关系图。这种情况下，工具会识别出各个包之间的层级关系，例如哪些包是直接依赖，哪些是间接依赖。

然而，一旦执行了npm install命令，node_modules目录被创建后，SBOM工具的扫描结果就会发生变化。此时生成的SBOM文件中，所有包都会被标记为根级依赖，原有的层级关系将丢失。

技术原因探究

这种现象的出现主要是因为SBOM工具在扫描项目时采用了不同的策略：

1. 无node_modules目录时：工具主要依赖package-lock.json文件来构建依赖树。这个文件明确记录了每个包的依赖关系，包括直接依赖和传递依赖。

2. 存在node_modules目录时：工具会直接扫描node_modules中的实际文件，由于每个包在node_modules中都是平级存放（NPM的扁平化安装策略），导致工具难以识别它们之间的依赖关系。

解决方案

针对这一问题，微软SBOM工具提供了灵活的配置选项，开发人员可以通过以下方式解决：

1. 使用排除目录功能：在运行SBOM工具时，可以通过命令行参数显式排除node_modules目录。例如：

   sbom-tool generate -b ./ -bc ./ -pn MyProject -pv 1.0 -ps MyOrg -nsb https://myorg.com -d ./output -m true -Df node_modules
   

   其中-Df参数就是用来指定需要排除的目录。

2. 构建前清理策略：在生成SBOM前，先删除node_modules目录，确保工具只解析package-lock.json文件。

最佳实践建议

1. 在CI/CD流水线中，建议将SBOM生成作为独立步骤，放在npm install之前执行。

2. 如果必须在安装依赖后生成SBOM，务必使用排除目录功能。

3. 对于大型项目，排除node_modules可以显著提高扫描速度，因为避免了大量文件的解析。

4. 定期验证生成的SBOM文件，确保依赖关系图准确反映了项目的实际结构。

通过理解SBOM工具的工作原理并合理配置，开发团队可以确保生成的软件物料清单既完整又准确，为软件供应链安全提供可靠保障。