PLB-SBOM Of: Hoe een SBOM te samenstellen voor een groep producten

Software Bill of Materials (SBOM) wordt essentieel voor de meeste CI/CD-pijplijnen.

‍SBOM legt een inventaris vast van componenten die het specifieke project samen met de bijbehorende metadata vormen.

‍Echter, de meeste complexe applicaties in de echte wereld worden gebouwd als een verzameling of een verzameling van applicaties — soms meer dan een paar lagen diep.

‍Bijvoorbeeld, een smartphone is een verzameling van onafhankelijk gebouwde apps bovenop een besturingssysteem — vermoedelijk gebouwd als een integratie van projecten. De apps van derden kunnen functionaliteiten van de apps van de eerste partij aanroepen, die op hun beurt afhankelijk kunnen zijn van externe diensten.

‍Er zijn veel keuzes als het gaat om het bouwen van een SBOM voor een complex meerlaag systeem.

‍Om richtlijnen voor beste praktijken over het onderwerp vast te stellen, heeft de SBOM Tooling and Implementation Working Group van CISA zojuist gepubliceerd — Richtlijnen voor het Samenstellen van een Groep Producten”. De richtlijnen van twee pagina’s — een must-read — scheiden VERPLICHTE en AANGEROEPE richtlijnen en bevatten een voorbeeld van zo'n assemblage.