Entry № 1190
软件物料清单(SBOM)
软件物料清单(SBOM) 是什么?
软件物料清单(SBOM)以机器可读形式正式描述构成一款软件的组件、库与依赖项及其版本与关系的清单。
SBOM 之于软件,犹如配料表之于预包装食品。它列出开源与商用组件、传递性依赖、版本、供应商、许可证,以及常见的加密哈希。常用标准包括 CycloneDX、SPDX 和 SWID。SBOM 支撑漏洞管理(把 CVE/KEV 映射到部署中的软件)、许可证合规、事件响应(快速回答"我们是否受 Log4Shell 影响?")和采购尽调。美国第 14028 号行政令、欧盟《网络韧性法案》以及 ENISA 等监管机构对面向政府或关键行业的软件越来越多地要求提供 SBOM。现代实践会在 CI/CD 中自动生成 SBOM,并随构件一起签名或证明。
● 示例
- 01
在每次构建中生成 CycloneDX 格式 SBOM 并上传至 dependency-track。
- 02
在受监管 SaaS 平台的采购合同中加入 SBOM 交换条款。
● 常见问题
软件物料清单(SBOM) 是什么?
以机器可读形式正式描述构成一款软件的组件、库与依赖项及其版本与关系的清单。 它属于网络安全的 应用安全 分类。
软件物料清单(SBOM) 是什么意思?
以机器可读形式正式描述构成一款软件的组件、库与依赖项及其版本与关系的清单。
如何防御 软件物料清单(SBOM)?
针对 软件物料清单(SBOM) 的防御通常结合技术控制与运营实践,详见上方完整定义。
软件物料清单(SBOM) 还有哪些其他名称?
常见的别称包括: SBOM, 软件组件清单。