本文演示了如何将 Trivy 的关键 SBOM 生成修复（PR #9224）扩展到一个企业级、由 GenAI 驱动的平台，从而实现全面的 DevSecOps 自动化并节省数百万美元的成本。我们将探讨从核心依赖解析改进到企业级 AI 驱动的漏洞情报的技术实现。 基础：Trivy 中的跨结果依赖解析 问题陈述：不完整的 SBOM 依赖图 原始问题：SBOM 依赖图的绘制丢失了存在于不同扫描结果之间的依赖关系，特别是在多模块项目中，模块 B 依赖于模块 A 的共享库。根本原因是依赖解析仅检查单个结果，而不是报告中的所有结果。