O Que É um SBOM Attachment?
Um SBOM attachment é um software bill of materials empacotado com, ou referenciado a partir de, um artifact de release, enumerando os componentes e dependências que ele contém. Anexá-lo ao artifact permite que consumidores downstream recuperem o inventário de componentes onde quer que o artifact vá. Ele apoia verificações de vulnerabilidade e de licença após a distribuição.
Por que isso importa
Quando uma nova vulnerabilidade é divulgada, um SBOM anexado permite que consumidores digam rapidamente se um artifact é afetado. Vinculá-lo ao artifact mantém o inventário disponível em todo lugar em que o artifact é usado.
Guias relacionados
What Is a Version Manifest?A version manifest is a file recording the exact versions of components in a release, giving one authoritativ…
What Is Signed Provenance?Signed provenance is a cryptographically signed record of how an artifact was built, so consumers can verify…
What Is Attestation Verification?Attestation verification is the step where a consumer checks a signed attestation against policy before trust…