Как стать автором
Обновить

Что такое Software Bill of Materials и зачем он нужен разработчикам

Уровень сложностиПростой
Время на прочтение5 мин
Количество просмотров5K
Всего голосов 10: ↑9 и ↓1+14
Комментарии7

Комментарии 7

Идея SBOM берет начало в промышленной сфере, и на производстве Bill of Materials (BOM) используют достаточно давно. Это — подробный список сырья и готовых компонентов, необходимых для изготовления той или иной продукции, организованный по иерархическому принципу. 

Bill of Materials - Спецификация. (ГОСТ 2.106-2019)

Этот "список" (Спецификация) может быть как подробным, так и не очень, как с учётом количества вхождения компонентов во всё изделие, так и в отдельные узлы/подсборки. И никакого отношения к SBOM кроме похожих букв это не имеет. А вот сам SBOM больше похож на список зависимостей а ля json.

Аппаратное обеспечение может участвовать в распространении или выполнении ПО (например, сетевое оборудование, криптографические устройства и т. д.), но оно не считается частью SBOM.

А вот это конкретный косяк со стороны SBOM.

При желании вполне можно учитывать (зависит от продукта). Но если железо живет в облаке и за него отвечает кто-то другой, то можно и не перегружать себя этим

При желании вполне можно учитывать (зависит от продукта). 

Зависит от зоны ответственности, если вам не важен общий результат, а только ваша граница. Ну и облака - это отдельная тема.

Почему же, есть HBOM.

Также есть CBOM - Cryptographic Bill of Materials, чтобы выявлять используемые криптографические примитивы и оперативно реагировать в случае доказательства их уязвимости.

Можно еще добавить, что сегодня SBOM становится все более обязательным и требуется заказчиком, а формат SPDX становится дефакто стандартом SBOM.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий