PLB-SBOM Ou : Comment assembler un SBOM pour un groupe de produits

Le Bill of Materials (SBOM) est en train de devenir essentiel pour la plupart des pipelines CI/CD.

‍SBOM capture un inventaire des composants qui composent le projet spécifique ainsi que les métadonnées associées.

‍Cependant, la plupart des applications complexes du monde réel sont construites comme une collection ou un assemblage d'applications — parfois plus de quelques couches de profondeur.

‍Par exemple, un smartphone est une collection d'applications construites de manière indépendante sur un système d'exploitation — vraisemblablement construit comme une intégration de projets. Les applications tierces peuvent invoquer des fonctionnalités des applications de première partie, qui à leur tour peuvent dépendre de services externes.

‍Il y a de nombreux choix lorsqu'il s'agit de construire un SBOM pour un système complexe à plusieurs couches.

‍Pour établir des conseils de meilleures pratiques sur le sujet, le groupe de travail sur les outils et l'implémentation du SBOM de la CISA vient de publier — Lignes directrices sur l'assemblage d'un groupe de produits”. Le guide de deux pages — un incontournable — sépare les recommandations OBLIGATOIRES et RECOMMANDÉES et inclut un exemple de tel assemblage.