SBOM-naleving vereist drie onderdelen:

1. Bouwproduct SBOM met elke release/patched versie van het product

2. Onderteken en bevestig de nauwkeurigheid van de geproduceerde SBOM

3. Deel SBOM met de relevante klant of instantie

Bouw SBOM

CISA beveelt een van de drie open formaten aan: CycloneDX, SPDX, en SWID voor het bouwen van SBOM. De generatie van SBOM varieert afhankelijk van de ontwikkelingsopzet, bouwomgeving en onderliggende ontwikkelingspraktijken. SBOM kan worden gegenereerd vanuit de broncode of bouw- en releasepijplijnen. SBOM kan ook worden opgebouwd door binaire artefacten (SCA) of onderliggende manifesten voor artefacten zoals containerafbeeldingen te analyseren. CycloneDX en SPDX hulppagina's zijn uitstekende startpunten voor verschillende open-source en commerciële hulpmiddelen voor generatie die zich uitstrekken over vele ontwikkelingsomgevingen.

Onderteken SBOM

Sommige instanties vereisen dat SBOM wordt ondertekend om de integriteit van de inhoud te waarborgen. Het ondertekenen van de SBOM zorgt ervoor dat de inhoud van de SBOM is beoordeeld en bevestigd door de softwarebouwer. SBOM kan worden ondertekend met open source tools zoals co-sign voor containerafbeeldingen of met behulp van een commercieel certificaat zoals RSA-certificaten van CA.

Deel SBOM

SBOM bevat alle open source en commerciële componenten en hun relaties die in de SBOM zijn opgenomen, samen met hun versies, licenties en validerende informatie zoals hashes. Dit moet worden behandeld als een gevoelig document en met zorg worden gedeeld. Echter, naleving heeft niet expliciet een specifieke methode van delen gevraagd, dus het is theoretisch mogelijk om te delen via e-mail of als een gedeeld document. Interlynk beveelt aan om deelmechanismen te gebruiken die verifiëerbaar en traceerbaar zijn.