Как создавать SBOM в Java с помощью Maven и Gradle

[sshikov]

ваша система сборки загружает все пакеты, необходимые для компиляции и сборки вашего приложения

Но это же неправда. Загружать в рантайме можно что угодно, не говоря уже о том, что и компилировать в рантайме в целом тоже можно. Ну скажем, мавеновский artefact resolver под названием Aether, он вполне доступен как компонент, и может применяться для динамической загрузки артефактов, а дальше можно добиться включения их в класс лоадер.

Короче, я не против SBOM, но далеко не всегда это возможно статически.