Know-How
SBOM generování — Software Bill of Materials
SBOM je seznam všech komponent vašeho software. Povinný pro US federal contractors, užitečný pro všechny.
Formáty
- SPDX: Linux Foundation standard
- CycloneDX: OWASP standard, security-focused
Generování
# Syft — universální
syft . -o spdx-json > sbom.spdx.json
syft . -o cyclonedx-json > sbom.cdx.json
syft myapp:latest -o spdx-json # Docker image
# Trivy
trivy fs --format spdx-json -o sbom.json .
# npm
npx @cyclonedx/cyclonedx-npm --output-file sbom.json
Využití SBOM
- Vulnerability matching (grype sbom.json)
- Licence compliance
- Incident response — rychlá identifikace postižených systémů
- Regulatory compliance (EU CRA, US EO 14028)
Klíčový takeaway
Generujte SBOM automaticky v CI/CD. CycloneDX pro security, SPDX pro licence. Bude povinný.