Software Bill of Materials (SBOM)
Что такое Software Bill of Materials (SBOM)?
Software Bill of Materials (SBOM)Формальный машиночитаемый перечень компонентов, библиотек и зависимостей, образующих программное обеспечение, с указанием версий и их связей.
SBOM для программного обеспечения — это аналог списка ингредиентов для упакованного продукта. Он перечисляет открытые и проприетарные компоненты, транзитивные зависимости, версии, поставщиков, лицензии и часто криптографические хеши. Распространённые стандарты — CycloneDX, SPDX и SWID. SBOM поддерживает управление уязвимостями (сопоставление CVE и KEV развернутому ПО), лицензионный комплаенс, реагирование на инциденты (быстрый ответ на вопрос «затронуты ли мы Log4Shell?») и due diligence при закупках. Регуляторы — Указ США 14028, европейский Cyber Resilience Act, рекомендации ENISA — всё чаще требуют SBOM для ПО, поставляемого государству и критическим секторам. Современные программы автоматически генерируют SBOM в CI/CD и подписывают или аттестируют его вместе со сборкой.
● Примеры
- 01
SBOM в формате CycloneDX, генерируемый при каждой сборке и загружаемый в dependency-track.
- 02
Договорная норма об обмене SBOM в контракте на регулируемую SaaS-платформу.
● Частые вопросы
Что такое Software Bill of Materials (SBOM)?
Формальный машиночитаемый перечень компонентов, библиотек и зависимостей, образующих программное обеспечение, с указанием версий и их связей. Относится к категории Безопасность приложений в кибербезопасности.
Что означает Software Bill of Materials (SBOM)?
Формальный машиночитаемый перечень компонентов, библиотек и зависимостей, образующих программное обеспечение, с указанием версий и их связей.
Как защититься от Software Bill of Materials (SBOM)?
Защита от Software Bill of Materials (SBOM) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Software Bill of Materials (SBOM)?
Распространённые альтернативные названия: SBOM, Перечень компонентов ПО.