SBOM wird nicht auf Dependency-Track gepushed

[MasterEvarior]

Der Upload des SBOM schlägt fehl, was dazu führt das Dependency-Track nicht aktuell ist. Trotzdem gilt der Workflow als erfolgreich. Das SBOM muss erfolgreich auf DT gepushed werden können. Falls es einen Fehler gibt soll der Workflow-Step auch entsprechend fehlschlagen.

Folgender Fehler tritt auf:

{"status":400,"title":"The uploaded BOM is invalid","detail":"Schema validation failed","errors":["cvc-identity-constraint.4.1: Duplicate unique value [pkg:maven/ch.puzzle.okr/[email protected]?type=jar] declared for identity constraint \"bom-ref\" of element \"bom\"."]}

Beispiel einer Pipeline: https://github.com/puzzle/okr/actions/runs/12930466998/job/36062531101#step:7:90

Ebenfalls soll die Version der CycloneDX Spezifikation aktualisiert werden, da durch ein Dependency-Track Update nun neuere Versionen verarbeitet werden können.

Zum Testen kann das okr-staging Projekt auf DT verwendet werden. okr-demo und besonders okr-production nicht anfassen.

Weitere Infos:

• DT-Release Notes: https://docs.dependencytrack.org/changelog/
• DT-Staging: https://deptrack.ocp.cloudscale.puzzle.ch/projects/c3275e60-87fb-453f-bc3d-1c68da20e595

Anforderungen

• Das SBOM wird erfolgreiche auf DT gepusht
• Die Pipeline hat den korrekten Status
• Die CycloneDX-Version ist aktualisiert

Aktzeptanzkriterien

• Die SBOM-Version wird korrekt für alle 3 Umgebungen (staging, demo, prod) gepusht
• Failed der SBOM-Push, failed auch der Workflow-Step
• CycloneDX-Version ist auf der neust möglichen Version ( > 1.4)
• Die Version ist explizit angegeben
• Alle Tests sind ok

[RandomTannenbaum]

Stand 27.01.2025
Ich habe einen Testworkflow erstellt, um das pushen des sboms auf staging zu testen. Dieser funktioniert jetzt. Die Lösung für den Fehler in der Pipeline war es, die SBOMs hierarchisch zu mergen.

Ausserdem validiere ich den finalen SBOM nun, bevor er auf deptrack gepusht wird.