Software Bill of Materials (SBOM)
Что такое Software Bill of Materials (SBOM)?
Software Bill of Materials (SBOM)Формальный машиночитаемый перечень компонентов, библиотек и зависимостей, образующих программное обеспечение, с указанием версий и их связей.
SBOM для программного обеспечения — это аналог списка ингредиентов для упакованного продукта. Он перечисляет открытые и проприетарные компоненты, транзитивные зависимости, версии, поставщиков, лицензии и часто криптографические хеши. Распространённые стандарты — CycloneDX, SPDX и SWID. SBOM поддерживает управление уязвимостями (сопоставление CVE и KEV развернутому ПО), лицензионный комплаенс, реагирование на инциденты (быстрый ответ на вопрос «затронуты ли мы Log4Shell?») и due diligence при закупках. Регуляторы — Указ США 14028, европейский Cyber Resilience Act, рекомендации ENISA — всё чаще требуют SBOM для ПО, поставляемого государству и критическим секторам. Современные программы автоматически генерируют SBOM в CI/CD и подписывают или аттестируют его вместе со сборкой.
● Примеры
- 01
SBOM в формате CycloneDX, генерируемый при каждой сборке и загружаемый в dependency-track.
- 02
Договорная норма об обмене SBOM в контракте на регулируемую SaaS-платформу.
● Частые вопросы
Что такое Software Bill of Materials (SBOM)?
Формальный машиночитаемый перечень компонентов, библиотек и зависимостей, образующих программное обеспечение, с указанием версий и их связей. Относится к категории Безопасность приложений в кибербезопасности.
Что означает Software Bill of Materials (SBOM)?
Формальный машиночитаемый перечень компонентов, библиотек и зависимостей, образующих программное обеспечение, с указанием версий и их связей.
Как работает Software Bill of Materials (SBOM)?
SBOM для программного обеспечения — это аналог списка ингредиентов для упакованного продукта. Он перечисляет открытые и проприетарные компоненты, транзитивные зависимости, версии, поставщиков, лицензии и часто криптографические хеши. Распространённые стандарты — CycloneDX, SPDX и SWID. SBOM поддерживает управление уязвимостями (сопоставление CVE и KEV развернутому ПО), лицензионный комплаенс, реагирование на инциденты (быстрый ответ на вопрос «затронуты ли мы Log4Shell?») и due diligence при закупках. Регуляторы — Указ США 14028, европейский Cyber Resilience Act, рекомендации ENISA — всё чаще требуют SBOM для ПО, поставляемого государству и критическим секторам. Современные программы автоматически генерируют SBOM в CI/CD и подписывают или аттестируют его вместе со сборкой.
Как защититься от Software Bill of Materials (SBOM)?
Защита от Software Bill of Materials (SBOM) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Software Bill of Materials (SBOM)?
Распространённые альтернативные названия: SBOM, Перечень компонентов ПО.
● Связанные термины
- appsec№ 1069
Безопасность цепочки поставок ПО
Дисциплина защиты каждого звена производства ПО — исходного кода, зависимостей, сборки, подписи, дистрибуции и деплоя — от вмешательства, вредоносного кода и потери целостности.
- appsec№ 245
Cryptographic Bill of Materials (CBOM)
Перечень всех криптографических активов, используемых ПО или системами — алгоритмов, длин ключей, сертификатов, библиотек и протоколов — для поддержки криптогибкости и пост-квантовой готовности.
- appsec№ 1053
SLSA Framework
Supply-chain Levels for Software Artifacts — выпущенный OpenSSF набор требований по уровням, который последовательно ужесточает практики сборки, подписи и верификации ПО для защиты от вмешательства в цепочку поставок.
- appsec№ 870
Аттестация происхождения (Provenance Attestation)
Подписанное и машиночитаемое заявление о том, как был произведён программный артефакт — источник, сборочная система, параметры и зависимости — чтобы потребители могли доверять его происхождению.
- appsec№ 971
SCA (Software Composition Analysis)
Автоматический анализ open-source и сторонних компонентов приложения для выявления известных уязвимостей, лицензионных рисков и устаревших или опасных зависимостей.
- attacks№ 1116
Атака на цепочку поставок
Атака, при которой компрометируется доверенный сторонний поставщик ПО, оборудования или услуг с целью добраться до его конечных клиентов.
● См. также
- № 025AI Bill of Materials (AIBOM)
- № 522in-toto