aquasecurity/trivy

enhancement(cyclonedx): use `component.evidence.occurrences.location` for filapaths and linenumber

Open

#9,832 opened on 2025年11月20日

GitHub で見る
 (0 comments) (1 reaction) (0 assignees)Go (35,000 stars) (371 forks)batch import
help wanted

説明

Description

In CycloneDX 1.5, the location and line fields were added under component.evidence.occurrences. These are fields we can use in Trivy:

  1. location can be used instead of property.filePath
  2. line can be used if Trivy supports detecting line numbers for that file

Example:

https://github.com/CycloneDX/cyclonedx-go/blob/72e4629d580624c7d6bd815e2d209a0a62d08047/testdata/valid-evidence.json#L74-L77

Discussed in https://github.com/aquasecurity/trivy/discussions/9823

コントリビューターガイド

技術スタック
go
領域
security
Issue 種別
feature
難度新しい貢献者にとっての実装難度です。1 は非常に小さな変更、5 は専門的な作業です。
3
推定時間経験ある貢献者が調査、実装、テスト、pull request 準備にかけるおおよその時間範囲です。
half day
活動状況Issue が今どれだけ取り組みやすいかを示します。新しい、活発、古い、ブロック中、またはメンテナー入力待ちなどです。
fresh
明確さ期待される変更、受け入れ条件、次の手順がどれだけ明確かを示します。
mostly clear
前提条件
Go programmingCycloneDX format knowledge
初心者向け度初回貢献者にどれだけ取り組みやすいかを 1-100 で推定したスコアです。
50
調査方針
Look into Trivy's CycloneDX module, specifically how properties are currently used for filePath. Examine the CycloneDX 1.5 spec and the referenced cyclonedx go testdata for evidence. Consider adding location and line fields to the Trivy CycloneDX output. Check if line number detection is already implemented for some file types.