Deptrack adaptation for sbom-updater.py

Коллеги, всех приветствую.

1. Deptrack в настоящее время генерирует только sbom версии 1.5 во время экспорта. Предлагаю добавить строки, например сюда тык

if '1.6' != input_data['specVersion']: input_data['specVersion'] = "1.6"

Тем самым будем удовлетворять условиям используемой схемы.

2. Также есть проблема с восприятием типа "distribution" в параметре "externalReferences" чекером, схема разрешает использование "vcs" или "source-distribution", но для "source-distribution" нужно ещё поле "hashes", которое отсутствует в экспортируемом sbom Предлагаю добавить смену данного типа на "vcs".

Например, сюда тык

if 'externalReferences' in component: for reference in component['externalReferences']: if reference['type'] == "distribution": reference['type'] = "vcs" Таким образом скрипт sbom-updater.py будет адаптирован под обогащение данных из Dependency Track.