SBOM(软件物料清单)是企业使用的所有软件组件的完整列表。SBOM通常由第三方开源库、供应商提供的软件包和企业自己编写的专有软件构成。
SBOM本质上是在应用程序中使用的所有软件组件的清单。没有它,企业就无法看到正在构建或使用的软件相关的许可证和安全风险。维护一个符合SBOM格式的最新清单对于跟上敏捷开发的步伐至关重要。因为在现代软件快速开发的过程中,组件及其版本正在迅速变化。
由于当今的应用程序通常由许多单独的组件构建,通常来自各种开源或专有源码包,因此SBOM变得越来越重要和有价值。考虑到这些复杂性,涉及产品的组织和个人很难完全了解软件供应链以及可能存在的任何许可证风险。
而SBOM可以帮助企业快速识别和补救潜在的安全漏洞,满足许可要求,并应用版本控制最佳实践。此外,去年美国政府也就此颁布了一项条款,要求针对联邦政府出售产品的组织必须创建SBOM,以进一步提高安全性。
SBOM的最小组成要素分为三个领域:
1、数据字段:每个基于组件的软件工程的基线信息。
2、自动化支持:以机器和人类可读格式自动生产SBOM的能力。
3、实践和过程:如何以及何时生成和分发SBOM。