Die Software-Bill of Materials (SBOM) ermöglicht es Organisationen, Schwachstellen zu identifizieren, die Nutzung von Open Source zu verfolgen und die Einhaltung von Verpflichtungen sicherzustellen.
Jede Branche und deren Softwareproduktions- und Verbrauchsgewohnheiten können jedoch ihre eigenen branchenspezifischen Anforderungen haben.
Die Telekommunikationsbranche erkannte dies, und die OpenChain Telco-Arbeitsgruppe wurde im Mai 2021 gegründet, um die einzigartigen SBOM-Anforderungen der Branche zu adressieren.
Gestärkt durch die Teilnahme von Branchenriesen - Ericsson, Nokia, Huawei, KDDI Corporation, Fujitsu, Toshiba, Sony, Bosch und andere - hatte die Arbeitsgruppe das Ziel, ein spezifisches SBOM-Datenformat zu empfehlen, wichtige Felder im Format zu identifizieren und Kriterien für die Verteilung von SBOM festzulegen.
Die OpenChain-Arbeitsgruppe hat SBOM-Leitfaden Version 1.0 veröffentlicht, der darauf abzielt, einen Konsens für eine qualitativ hochwertige Software-Bill of Materials (SBOM) zu schaffen.
Anforderungen
Speziifikationen
SPDX 2.2 (verifiziert gegen SPDX 2.2.1)
SPDX 2.3
Dateiformate
Tag:Wert
JSON
Erforderliche Elemente
Dokumentenerstellungsinformationen
SPDXVersion: zwingend in SPDX
DataLicense: zwingend in SPDX
SPDXID: zwingend in SPDX
DocumentName: zwingend in SPDX
DocumentNamespace: zwingend in SPDX
Creator: zwingend in SPDX (Siehe SBOM Build-Informationen unten)
Created: zwingend in SPDX
CreatorComment: um SBOM-Bauinformationen einzufügen (Siehe unten)
SBOM Bauinformationen
Das
Creator-Feld muss einenOrganization-Wert enthaltenDas
Creator-Feld muss einenTool-Namen und dessen Version enthaltenDas
CreatorComment-Feld muss SBOMType-Informationen enthalten wie von CISA definiert
Paketinformationen
PackageName: zwingend in SPDX
SPDXID: zwingend in SPDX
PackageVersion: nötig für „NTIA SBOM-Minimalelemente”
PackageSupplier: nötig für „NTIA SBOM-Minimalelemente”
PackageDownloadLocation: zwingend in SPDX
PackageChecksum: empfohlen von „NTIA SBOM-Minimalelementen”
PackageLicenseConcluded: zwingend in SPDX
PackageLicenseDeclared: zwingend in SPDX
PackageCopyrightText: zwingend in SPDX
ExternalRef: um die Paket-URL anzugeben
Geltungsbereich Informationen
Must include all open-source components including transitive components
Should include all commercial components
Must include all "known unknown" components
Beziehungsinformationen
Beziehungen: bei BESCHREIBT und ENTHÄLT, nötig für “NTIA SBOM-Minimalelemente”
Lieferzeitpunkt des SBOM
Der SBOM muss spätestens zum Zeitpunkt der Lieferung der Software (in binärer oder Quellform) bereitgestellt werden.
Liefermethode des SBOM
Im Softwarepaket einfügen (wenn möglich) ODER
Web-gehostete Version, die für mindestens 18 Monate zum Kopieren und Speichern verfügbar ist (wenn nicht möglich)
SBOM-Überprüfung
Es wird empfohlen, eine digitale Signatur des SBOM einzuschließen, um die Integrität des SBOM sicherzustellen
SBOM-Fusion
Ein konformes SBOM kann mit mehreren SBOM Dateien unter Verwendung von SPDX Beziehungen erstellt werden
Interlynk für OpenChain Telco SBOM-Konformität
Interlynk hat das Open-Source-Multi-Spezifikationswerkzeug sbomqs das weit verbreitet für die Qualität und Konformität von SBOMs gegenüber NTIA-Minimum-Elementen und BSI TR-03183-2 verwendet wird. Wir haben die Fähigkeit erweitert, auch über die Einhaltung von OpenChain Telco zu berichten.
sbomqs kann jetzt einen grundlegenden oder detaillierten Bericht im Tabellen- und JSON-Format erstellen.
Grundlagenbericht
Tabellenbericht
JSON-Bericht