物料清单

本文介绍了 kmpkg 生成的软件物料清单。

kmpkg 基于 软件包数据交换（SPDX） 规格。它跟踪用于构建包的重要信息，例如源头，旨在为软件包消费者提供软件透明度和诚信。请参阅此 关于 SBOM 和SPDX 了解更多信息。

kmpkg 生成一个 SPDX 文件，其中包含每个包的 SBOM 信息 即已安装。这些文件位于<安装目录>/<三元组>/share/<包名称>/kmpkg.spdx.json。这 安装目录取决于 kmpkg 是否运行在 清单模式 或 经典模式。由于一个包可以有不同的 根据目标平台的依赖关系，因此生成的文件也由三元组分隔。

kmpkg 特定字段

kmpkg 生成的以下字段可能会出现在您的 SBOM 中，具体取决于您的包的构建方式。

名称

指文档的名称。该字段包含包名称、三元组、版本，后跟用于标识包的 ABI 哈希。

SPDX 参考：文档名称字段

创建信息

包含有关 kmpkg SPDX 元素之间关系的信息。 SPDXRef-port指的是端口，SPDXRef-file-N指的是端口中的每个文件，包括portfile.cmake，SPDXRef-binary指的是二进制包。在kmpkg中，二进制包是由端口生成的。

SPDX 参考：关系字段

关联信息

包含有关 kmpkg SPDX 元素之间关系的信息。 SPDXRef-port指的是端口，SPDXRef-file-N指的是端口中的每个文件，包括portfile.cmake，SPDXRef-binary指的是二进制包。在kmpkg中，二进制包是由端口生成的。

SPDX 参考：关系字段

包

指的是kmpkg生成的各个包。 SPDXRef-port 指端口，SPDXRef-binary 指二进制包，SPDXRef-resource 指 kmpkg 端口文件中使用的任何源。 kmpkg 通过解析kmpkg_from_github、kmpkg_from_gitee, kmpkg_from_git、kmpkg_download_distfile和kmpkg_from_sourceforge调用，启发式地从portfile.cmake生成源信息。

SPDX参考：封装信息

文件

指端口中的每个文件。它包含文件的相对路径和校验和。

SPDX参考：文件信息