Skip to content
Latchkey

SBOM Attachment とは?

SBOM attachment は、release artifact に同梱される、または release artifact から参照される software bill of materials で、それが含むコンポーネントと依存関係を列挙します。artifact に添付することで、下流の消費者は artifact が行く先々でコンポーネントのインベントリを取得できます。配布後の脆弱性チェックやライセンスチェックを支えます。

なぜ重要か

新しい脆弱性が公表されたとき、添付された SBOM により、消費者は artifact が影響を受けるかどうかを素早く判断できます。artifact に結び付けておくことで、artifact が使われるあらゆる場所でインベントリを利用可能に保ちます。

関連ガイド