SBOM Attachment とは?
SBOM attachment は、release artifact に同梱される、または release artifact から参照される software bill of materials で、それが含むコンポーネントと依存関係を列挙します。artifact に添付することで、下流の消費者は artifact が行く先々でコンポーネントのインベントリを取得できます。配布後の脆弱性チェックやライセンスチェックを支えます。
なぜ重要か
新しい脆弱性が公表されたとき、添付された SBOM により、消費者は artifact が影響を受けるかどうかを素早く判断できます。artifact に結び付けておくことで、artifact が使われるあらゆる場所でインベントリを利用可能に保ちます。
関連ガイド
What Is a Version Manifest?A version manifest is a file recording the exact versions of components in a release, giving one authoritativ…
What Is Signed Provenance?Signed provenance is a cryptographically signed record of how an artifact was built, so consumers can verify…
What Is Attestation Verification?Attestation verification is the step where a consumer checks a signed attestation against policy before trust…