SBOM je seznam všech komponent vašeho software. Povinný pro US federal contractors, užitečný pro všechny.
Formáty¶
- SPDX: Linux Foundation standard
- CycloneDX: OWASP standard, security-focused
Generování¶
Syft — universální¶
syft . -o spdx-json > sbom.spdx.json syft . -o cyclonedx-json > sbom.cdx.json syft myapp:latest -o spdx-json # Docker image
Trivy¶
trivy fs –format spdx-json -o sbom.json .
npm¶
npx @cyclonedx/cyclonedx-npm –output-file sbom.json
Využití SBOM¶
- Vulnerability matching (grype sbom.json)
- Licence compliance
- Incident response — rychlá identifikace postižených systémů
- Regulatory compliance (EU CRA, US EO 14028)
Key Takeaway¶
Generujte SBOM automaticky v CI/CD. CycloneDX pro security, SPDX pro licence. Bude povinný.
securitysbomsupply chaincompliance