SBOM wird nicht auf Dependency-Track gepushed

[MasterEvarior]

Der Upload des SBOM schlägt fehl, was dazu führt das Dependency-Track nicht aktuell ist. Trotzdem gilt der Workflow als erfolgreich. Das SBOM muss erfolgreich auf DT gepushed werden können. Falls es einen Fehler gibt soll der Workflow-Step auch entsprechend fehlschlagen.

Folgender Fehler tritt auf:

{"status":400,"title":"The uploaded BOM is invalid","detail":"Schema validation failed","errors":["cvc-identity-constraint.4.1: Duplicate unique value [pkg:maven/ch.puzzle.okr/[email protected]?type=jar] declared for identity constraint \"bom-ref\" of element \"bom\"."]}

Beispiel einer Pipeline: https://github.com/puzzle/okr/actions/runs/12930466998/job/36062531101#step:7:90

Ebenfalls soll die Version der CycloneDX Spezifikation aktualisiert werden, da durch ein Dependency-Track Update nun neuere Versionen verarbeitet werden können.

Zum Testen kann das okr-staging Projekt auf DT verwendet werden. okr-demo und besonders okr-production nicht anfassen.

Weitere Infos:

• DT-Release Notes: https://docs.dependencytrack.org/changelog/
• DT-Staging: https://deptrack.ocp.cloudscale.puzzle.ch/projects/c3275e60-87fb-453f-bc3d-1c68da20e595

Anforderungen

• Das SBOM wird erfolgreiche auf DT gepusht
• Die Pipeline hat den korrekten Status
• Die CycloneDX-Version ist aktualisiert

Aktzeptanzkriterien

• Die SBOM-Version wird korrekt für alle 3 Umgebungen (staging, demo, prod) gepusht
• Failed der SBOM-Push, failed auch der Workflow-Step
• CycloneDX-Version ist auf der neust möglichen Version ( > 1.4)
• Die Version ist explizit angegeben
• Alle Tests sind ok